7 sposobów naprawiania witryn zaatakowanych przez hakerów WordPress + 17 kroków bezpieczeństwa w celu ochrony

WordPress zhakowany

Może istnieć wiele systemów zarządzania treścią, ale żaden z nich nie może się równać z WordPressem. Z 51.6+ miliona witryn w marcu 2020 r. (i rosnące z każdym dniem) daje wyobrażenie, jak ogromnie lepszy i kochany jest ten system. Bezpieczeństwo WordPress i praktyczne wskazówki, jak zapobiegać włamaniom WordPress – CMS wciąż ma wiele do zrobienia, jeśli chodzi o bezpieczeństwo.

Chcemy jednak pomóc Ci zabezpieczyć Twoją witrynę od samego początku - lepiej zapobiegać niż leczyć, więc upewnij się, że zastosujesz się do tych wskazówek, w tym jednym z naszych wielu samouczków WordPress - DZIŚ.

Spis treści[Pokazać]

Te miliony witryn są jednak również narażone na poważne ataki ze strony skryptowych dzieciaków, które nie mają nic lepszego do roboty, ale szerzą nieszczęście na wiele sposobów, a także innych z bardziej nikczemnymi i złośliwymi powodami, mrocznych aktorów sieci: hakerów.

Całkiem często budzisz się pewnego ranka i odkrywasz, że Twoja niegdyś piękna strona internetowa staje się poetycka pełna linków i tekstów o ziołowych tabletkach na powiększenie lub innej podejrzanej farmacji lub jakiejś sprawie na Bliskim Wschodzie. 

Niespójne krzyki to prawdopodobnie pierwszy krok, jaki podejmiesz, gdy Twoja witryna zawiera reklamy na całą stronę, linki i przekierowania do bardziej zacienionych aspektów firm farmaceutycznych.

Jeśli ten scenariusz cię przeraża, to uzasadnione jest takie odczucie.

90,000 XNUMX witryn jest hackowanych każdego dnia

Źródło: HostingFacts

Wszyscy chcą zapobiec hakowaniu WordPress. Ponieważ przywracanie i odzyskiwanie witryny może zająć trochę czasu i wysiłku.

Wzmocnij więc swoją witrynę dzięki najlepszym praktykom bezpieczeństwa WordPress, aby zapobiec temu strasznemu losowi! I tak, potrzeba trochę czasu i ciągłego wysiłku, aby uniknąć ataków hakerskich.

Nie lubisz brudzić sobie rąk kodem? Próbować iThemes security i niech wykona brudną robotę. Kliknij ten link, aby uzyskać 25% ZNIŻKI do sierpnia 2024 r.

Jeśli nie chcesz przechodzić przez wiele kłopotów z plikami, włączanie różnych wtyczek i wiele innych rzeczy, których tak naprawdę nie rozumiesz - mamy dla Ciebie również łatwe wyjście. iThemes Security to najlepsza wtyczka bezpieczeństwa WP do zabezpieczania i ochrony Twojej witryny.

Jeszcze nie interesują Cię wtyczki WP? Czytaj!

Wyślij mi listę kontrolną bezpieczeństwa WordPress

Zajmiemy się trochę pracą nad kodem, ale najpierw zajmijmy się podstawowymi kwestiami bezpieczeństwa witryny. Zaczynając od:

17 kroków bezpieczeństwa WordPress

1. Zapobieganie włamaniom do WordPressa zaczyna się od Twojej stacji roboczej

To pierwszy i najłatwiej przeoczony: Twój komputer.

Powinieneś zawsze utrzymywać swój system wolny od złośliwego oprogramowania i wirusów, zwłaszcza jeśli korzystasz z niego w Internecie (co oczywiście masz). Ochrona stacji roboczej jest jeszcze bardziej istotna, gdy przeprowadzasz transakcje i masz stronę internetową, ponieważ wystarczy keylogger, aby znokautować najbardziej zatwardziałe strony internetowe.

Keylogger odczyta wszystkie twoje nazwy użytkownika i hasła i wyśle ​​je hakerom - co oczywiście spowoduje cały szereg problemów i problemów w Twojej witrynie.

Bądź bezpieczny i regularnie aktualizuj system operacyjny, oprogramowanie i przeglądarki na swoim komputerze. Korzystaj z dobrej usługi antywirusowej. Miej oko na wszelkie luki w systemie i usuń je, zanim stanie się ogromnym bólem. Jeśli twój komputer zaczyna dziwnie zachowywać się, wyskakujące reklamy i inne podejrzane rzeczy, możesz chcieć to sprawdzić przed uzyskaniem dostępu do witryny 

2. Zainstaluj wszystkie aktualizacje WordPress

Bezpieczny WordPress dzięki jego aktualizacjom

Za każdym razem, gdy wypuszczana jest nowa wersja WordPressa, robi to z wielką pompą i falą podekscytowania.

Większość z nas jest podekscytowana, ponieważ hej, Nowe funkcje! Hakerzy są podekscytowani, ponieważ natychmiast pójdą sprawdzić Informacje o wydaniu bezpieczeństwa i konserwacji. Niestety każdy WordPress aktualizacja niesie ze sobą odkrycie szeregu luk w zabezpieczeniach WordPressa w starszych wersjach.

Z każdą nową aktualizacją WordPressa otrzymujemy dodatkowe funkcje i uaktualnienia, wraz ze stroną zawierającą listę luk bezpieczeństwa w poprzedniej wersji i ich poprawki.

Ta strona jest praktycznie ściągawką dla hakerów na całym świecie. Jeśli nie zaktualizujesz na czas, te wady zostaną wykorzystane do przejęcia witryn w starszych wersjach (a Twoja witryna może się znaleźć wśród nich, jeśli nie zaktualizujesz).

A jeśli Twoja witryna zostanie zhakowana, niestety będzie za późno na znalezienie wymówek dla nieaktualizowania do najnowszej wersji.

Więc nie dawaj hakerom szansy na wkręcenie się. Zainstaluj najnowszą wersję WordPressa, gdy tylko zostanie wydana.

Jeśli obawiasz się, że zepsuje to Twoją witrynę, przed aktualizacją upewnij się, że masz działającą kopię zapasową. Zaktualizowana wersja rozwiąże wszelkie problemy związane z bezpieczeństwem, które istniały w poprzedniej wersji - i bardzo, bardzo, aby zapobiec włamaniom do WordPressa.

Chcesz, aby Twoja witryna była aktualizowana automatycznie? Sprawdź InMotion VPS dla swojego hostingu - mają doskonałe funkcje specyficzne dla WordPressa, dzięki czemu możesz automatycznie aktualizować swoją witrynę, gdy tylko się pojawią. Jesteśmy na InMotion VPS i uwielbiamy to!

3. Upewnij się, że Twój serwer hostingowy jest bezpieczny

 

Czy wiesz, że do 2019 r. około 54% stron internetowych nadal używa PHP 5.x – wersji PHP, która jest wycofana z eksploatacji i dlatego nie otrzymuje żadnych aktualizacji zabezpieczeń. Oznacza to, że wszelkie witryny działające na PHP 5.4 są podatne na ataki hakerów poprzez luki w oprogramowaniu serwera. (Źródło Raport dotyczący zhakowanej witryny Sucuri 2019)

Nawet wersja PHP 7.1 kończy się 1 grudnia 2019 r. Stare wersje oprogramowania, takie jak te, nie są już obsługiwane i zawierają luki, które nie zostały załatane!

Te stare wersje oprogramowania są podatne na ataki hakerów.

Jeśli wiesz, że Twoja witryna obsługuje PHP 5 lub ewentualnie PHP do 7.1, poproś swojego hosta, aby sprawdził, czy Twoja witryna może zostać przeniesiona do nowszej wersji PHP.

Nie tylko to, ale większość stron internetowych/blogów znajduje się na serwerach współdzielonych. Zasadniczo, jeśli jedna strona na współdzielonym serwerze zostanie zainfekowana, każda inna witryna jest zagrożona, szacunekless jak bezpieczna jest strona/blog w inny sposób.

Zostaniesz zhakowany bez własnej winy.

Ćwiczenie myślowe: Czy byłeś kiedyś w kuchni dla ubogich? Czy możesz to sobie wyobrazić i wyobrazić sobie, co się tam dzieje? Jeśli jesteś jednym z tych, którzy uniknęli tej parodii, dam ci degustację (gra słów zamierzona). Pomyśl o wszystkim, co wydarzyło się od momentu powstania kuchni, rozlaniach i pęknięciach, przeciekach i rozpryskach. W serwerowni zupy te rzeczy nigdy nie znikają. Stają się częścią kuchni.

Teraz wyobraź sobie, że to samo dzieje się z Twoją witryną. Serwer hostingowy firmy, która pomija konserwację i nie aktualizuje do najnowszych wersji oprogramowania, już przeniósł się do kuchni dla zup.

Co więcej, jeśli Ty lub Twój webmaster udostępniacie razem kilka witryn, nieużywane pliki, dane, witryny i inne gromadzą się, aż staną się zagrożeniem dla obecnych witryn.

Wybierz więc niezawodny i bezpieczne gospodarz.

VPS i hosting zarządzany minimalizują ryzyko naruszeń i doskonale sprawdzają się w witrynach e-commerce. . Jeśli hosting współdzielony jest dla Ciebie wystarczający, sprawdź ich bezpieczeństwo, zanim zasubskrybujesz na nich miejsce.

Upewnij się, że regularnie konserwują swoje serwery, a także aktualizują do najnowszych wersji oprogramowania. To kolejny krok, który powinien znaleźć się na twojej liście priorytetów, jeśli chcesz zapobiec hakowaniu WordPress.

4. Użyj bezpiecznej transmisji, aby zapobiec przechwyceniu hasła i danych

W przypadku niezabezpieczonego połączenia dane mogą zostać przechwycone i możesz zostać zhakowany, zanim będziesz mógł powiedzieć „niezaszyfrowane”.

Dlatego powinieneś skupić się na bezpiecznych połączeniach sieciowych i szyfrowaniu: po stronie serwera, po stronie klienta i wszystkich stronach. Znajdź hosta, który umożliwia szyfrowanie SFTP/SSH w celu ochrony danych i informacji przed złośliwym przechwyceniem.

Twoja witryna powinna również mieć zainstalowany bezpieczny certyfikat i skonfigurować tak, aby podczas logowania Twoje dane uwierzytelniające były przesyłane w bezpieczny sposób.

5. Zapobiegaj włamaniom za pomocą skomplikowanych haseł

Złożone hasła dla większego bezpieczeństwa

Niezbędna wskazówka: utwórz silne hasło i NIGDY nie używaj haseł ponownie re

Nasz kolejny krok, jak chronić WordPressa przed hakerami, dotyczy bardzo popularnego tematu: haseł.

Zaskakująca liczba osób uważa, że ​​długie, skomplikowane hasła są przereklamowane i wolałyby coś krótszego i łatwiejszego do zapamiętania; fakt, który hakerzy znają i wykorzystują.

Nie ma innego sposobu, aby to ująć: dobre, silne hasło składające się z liter, cyfr i innych prawidłowych znaków faktycznie przejdzie długą drogę, aby chronić Twojego bloga.

Atak brute force hack może polegać na użyciu krótkiego hasła przy użyciu prostego słowa (na przykład słowa kluczowego ze słownika lub łatwego wspólnego hasła), tak. Ale im więcej znaków znajduje się w Twoim haśle, tym dłużej trwa jego złamanie.

Łamanie długich, złożonych haseł trwa wykładniczo.

To, co próbujesz zrobić, to przełamać znane wzorce, aby utrudnić, jeśli nie uniemożliwić hakowanie.

Wszelkie dane osobowe lub oparte na nich hasła (takie jak urodziny lub imiona osób) będą łatwe do złamania. Nie używaj pojedynczych słów (zwróć uwagęless długości), hasła składające się wyłącznie z liter lub cyfr.

Utwórz hasło, które jest łatwe do zapamiętania, ale trudne do odgadnięcia, aby zapobiec włamaniom do WordPressa - jeśli Twój blog dotyczy bezpieczeństwa, zrób coś w stylu naciśnijmojeWORDSand5ecurit!$ 

Wyślij mi listę kontrolną bezpieczeństwa WordPress  

6. Dbaj o bezpieczeństwo i izolację baz danych

Twoja baza danych wie o wszystkim, co kiedykolwiek wydarzyło się na Twojej stronie. To prawdziwe źródło informacji, które sprawia, że ​​hakerzy nie mogą się mu oprzeć.

Zautomatyzowane kody do wstrzyknięć SQL można stosunkowo łatwo włamać do bazy danych Twojej witryny. Jeśli prowadzisz wiele witryn/blogów z jednego serwera (i bazy danych), wszystkie witryny są zagrożone.

Jak podaje zasób kodu, najlepiej używać osobnych baz danych dla każdego bloga/strony i oddać je do zarządzania przez oddzielnych użytkowników. Mówiąc prościej, każda hostowana witryna powinna mieć własną bazę danych i własnego użytkownika bazy danych.

Tylko ten użytkownik bazy danych powinien mieć dostęp do bazy danych.

Możesz również cofnij wszystkie uprawnienia do bazy danych z wyjątkiem odczyt danych i zapis danych od użytkowników, którzy będą pracować tylko z publikowaniem/przesyłaniem danych i instalowaniem wtyczek.

Nie jest to jednak zalecane, ponieważ zmiana schematu uprawnienia wymagane w głównych aktualizacjach.

Powinieneś także zmienić nazwę swojej bazy danych (zmieniając jej prefiks), aby zmylić hakerów, którzy chcą na nią atakować. Chociaż nie zapobiega to hakowaniu WordPress per se, zapewnia jednak, że jeśli jakiekolwiek bazy danych zostaną naruszone, hakerzy nie będą mogli przeskoczyć do następnej instalacji WordPressa.

7. Ukryj login i nazwę administratora swojej witryny

Następny temat, jak zabezpieczyć WordPressa przed hakerami, dotyczy administratora WordPressa.

Pozostawienie domyślnych ustawień WordPressa nietkniętych jest praktycznie pytanie za kłopoty.

Znalezienie nazwy administratora witryny jest śmiesznie proste, jeśli nie jest ona aktywnie ukrywana.

Wszystko, czego potrzebuje haker, to dodać ?autor=1 po Twoim adresie URL i osoba/członek, który się pojawia, najprawdopodobniej jest administratorem. Wyobraź sobie, jak łatwo byłoby hakerom użyć brutalnej siły po znalezieniu nazwy użytkownika administratora.

Jak możesz zapobiec hakowaniu, jeśli pozostawiasz tak wiele dostępnych informacji, ułatwić eksploatację?

Rozwiązanie mające na celu powstrzymanie hacków WordPress: Ukryj wszystkie nazwy użytkowników z tym kodem w pliku functions.php:

add_action('template_redirect', 'bwp_template_redirect');
funkcja bwp_template_redirect()
{
  jeśli (jest_autorem())
  {
    wp_redirect( home_url() ); Wyjście;
  }
}

 

Twoja strona logowania jest również łatwo dostępna, nie tylko dla Ciebie. Jeśli po prostu dodasz wp-admin lub wp-login.php po adresie URL swojej strony głównej, wpisz nazwę użytkownika, której nauczyliśmy się od ?author=1, pozostaje tylko trochę brutalnego forsowania lub zgadywania, dopóki hasło nie zostanie złamane. 

Użyj techniki „zabezpieczenia przez ukrywanie” i zmień adres URL strony logowania, aby nieco utrudnić hakerom zadanie.

Wtyczki zabezpieczające, takie jak iThemes Security mieć ustawienie Ukryj logowanie, które usunie łatwy dostęp do loginu WordPress.

ukryj login do backendu

Po raz kolejny wykonanie tego prostego kroku znacznie pomoże zapobiec hakowaniu WordPress.

Nie jesteś pewien, czy poradzisz sobie z tym wszystkim?

Potrzebuję pomocy? Spójrz na iThemes Security Pro - jedna wtyczka i Twoja strona jest bezpieczna. Gwarancja. Kliknij poniższe linki, aby odwiedzić witrynę.

8. Zapobiegaj włamaniom za pomocą wtyczek i sztuczek bezpieczeństwa WordPress, aby chronić wp-admin

 

Twój wp-admin to najważniejsza część Twojej instalacji WordPressa - ta z największą „mocą”.

Niestety, strona logowania i katalog administratora są dostępne dla wszystkich: także tych, które mają złośliwe zamiary. Aby go chronić i powstrzymać ataki hakerskie, będziesz musiał pracować nieco ciężej.

iThemes Security

Silne hasło, inne konto administratora (z nazwą użytkownika inną niż anything 'Administrator'), i używanie iThemes Security wtyczka do zmiany nazwy linków logowania z pewnością pomoże zapobiec włamaniom.

ithemes wtyczka bezpieczeństwa wordpress

Twój koszyk iThemes Security

Malcare

Możesz także wzmocnić ochronę wokół administratora za pomocą wtyczek zabezpieczających witryny, takich jak Malcare.

Ta pięciogwiazdkowa usługa jest usługą, którą odkryliśmy stosunkowo niedawno.

Panel bezpieczeństwa witryny Malcare

 

Malcare jest rozwijany przez zespół odpowiedzialny za Blogvault, z którego już korzystaliśmy i który okazał się niesamowity.

Ich najnowsza oferta oferuje kompleksowe usługi bezpieczeństwa i zarządzania witryną. Oferuje takie usługi, jak skanowanie plików pod kątem podstawowych zmian (w celu wykrycia włamań), czyszczenie awaryjne, wbudowana zapora sieciowa do zatrzymania złośliwego ruchu, aktualizacja motywów i wtyczek bezpośrednio z pulpitu nawigacyjnego oraz tworzenie kopii zapasowych jednym kliknięciem.

Najlepsze w tym jest to, że możesz zarządzać WSZYSTKIMI swoimi witrynami z jednego pulpitu nawigacyjnego, bez konieczności logowania się do każdej z nich z osobna.

Sprawdź Malcare

Limit Login Attempts Odśwież

Z odrobiną kodu w połączeniu z nieograniczoną liczbą prób logowania, każdy haker w końcu się włamie.

Możesz ograniczyć liczbę prób logowania, które każdy pojedynczy użytkownik może wykonać na stronie logowania administratora, używając Limit Login Attempts Ponownie załadowana wtyczka. Ograniczy to liczbę prób logowania dla każdego adresu IP, w tym Twojego (z plikami cookie auth).

zrzut ekranu limitu prób logowania

Really Simple SSL

Wykorzystaj moc prywatnego SSL, aby zabezpieczyć logowanie administratora, obszar, posty i nie tylko. Używając Really Simple SSL wtyczka umożliwia szyfrowanie sesji logowania, co oznacza, że ​​hasło jest trudne do przechwycenia.

Musisz uzyskać certyfikat SSL i zainstalować go na swoim serwerze hostingowym. InMotion oferuje certyfikaty SSL za darmo w swoich planach hostingowych - więc jeśli nadal nie masz, może nadszedł czas, aby przejść na InMotion, aby uzyskać również SSL.

Po potwierdzeniu u dostawcy usług hostingowych, że masz Shared SSL, możesz aktywować wtyczkę.

Jeśli wolisz nie używać wtyczki, ale chcesz wymusić SSL tylko podczas logowania, dodaj ten kod do pliku wp-config.php:

define('FORCE_SSL_ADMIN', prawda);

Acunetix Bezpieczny WordPress

To zdjęcie wtyczka jest ogólnie doskonałym rozwiązaniem zabezpieczającym, ale niektóre kluczowe funkcje sprawiają, że jest jeszcze lepszy.

Przede wszystkim uruchamia skanowanie bezpieczeństwa witryny. Zwraca również szczególną uwagę na środki zapobiegawcze, dzięki czemu przede wszystkim zapobiegasz hakowaniu WordPress. Aby chronić obszar administracyjny, usunie informacje o błędach ze strony logowania.

To może nie brzmieć dużo, ale komunikat o błędzie faktycznie pomaga hakerom dowiedzieć się, czy coś zrobili dobrze. Usunięcie komunikatu (wskazówki) odbiera tę przewagę.

Jeśli chcesz uniknąć włamań, skonfiguruj przynajmniej niektóre z tych wtyczek.

Najważniejsza wskazówka: reszta artykułu zawiera wskazówki dotyczące zaawansowanego bezpieczeństwa witryn

Pozostałe wskazówki wymagają majsterkowania przy instalacji WordPressa, co niesie ze sobą pewne ryzyko. Jeśli wolisz nie majstrować przy instalacji, możesz chcieć zatrudnić programistę WordPress aby pomóc.

9. Jak zabezpieczyć WP poprzez wp-includes?

Wyjaśnijmy to wprost: wp-includes folder jest podstawową częścią WordPressa. Powinien zostać sam, nawet przez ciebie. I w żadnym wypadku nie powinien być dostępny dla potencjalnych hakerów.

Aby uniemożliwić złośliwym osobom/botom wysyłanie niechcianych skryptów bezpośrednio do serca Twojej witryny, aby zapobiec atakom hakerskim.

Dodaj to wcześniej #POCZĄTEK WordPressa w twoim pliku .htaccess:

# Zablokuj tylko pliki dołączane.

  RewriteEngine On
  RewriteBase /
  RewriteRule ^wp-admin/includes/ - [P,L]
  RewriteRule !^wp-includes/ - [S=3]
  RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
  RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
  RewriteRule ^wp-includes/theme-compat/ - [F,L]

# BEGIN WordPress

 

Pamiętaj, że będziesz musiał pomiń trzecią Regułę Rewrite jeśli chcesz, aby kod działał na Multisite.

10. Chroń swój wp-config, aby zwiększyć bezpieczeństwo witryny

To jedna z kwestii, która jest nieco kontrowersyjna. Nie wszyscy się na to zgadzają.

Niezależnie od tego, czy faktycznie przeniesiesz wp-config.php poza folder główny, nie można zaprzeczyć, że odrobina ulepszeń kodu w tym pliku może pomóc wzmocnić twoją witrynę i utrudnić wykonywanie hacków WordPress.

Nie jesteś pewien, czy poradzisz sobie z tymi wszystkimi technicznymi sprawami? Jest jeden wtyczka bezpieczeństwa, aby rządzić nimi wszystkimi

  • Start z wyłączanie edycji plików PHP z pulpitu nawigacyjnego, czyli miejsce, w którym atakujący skoncentruje się po włamaniu się przez punkt dostępu. Dodaj to do wp-config.php

define ('DISALLOW_FILE_EDIT', prawda);

  • $table_prefix jest umieszczany przed wszystkimi tabelami bazy danych. Atakom opartym na wstrzykiwaniu SQL można zapobiec, zmieniając jego wartość z domyślnej wp_. Zachowaj ostrożność, jeśli to zrobisz, będziesz musiał zmienić nazwę każdej istniejącej tabeli na nowy ustawiony przedrostek.

$table_prefix = 'r235_';

  • Przenieś katalog zawartości wp z domyślnej pozycji z tym

define('WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] .'/blog/wp-content');
define( 'WP_CONTENT_URL', 'https://example/blog/wp-content');
define('WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] .'/blog/wp-content/plugins');
define( 'WP_PLUGIN_URL', 'https://example/blog/wp-content/plugins');

Teraz, jeśli nie jesteś wywoływacz, nie używasz zbyt wielu dzienników błędów. Możesz uniemożliwić im dostęp dzięki temu:

raportowanie_błędów = 4339
display_errors = Off
display_startup_errors = Wył
log_errors = Włączone
dziennik_błędów = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_powtarzane_błędy = Włączone
ignore_powtarzane_źródło = wyłączone
html_errors = Off

 

11. Utwórz kopię zapasową swojej witryny (na wszelki wypadek)

Kopia zapasowa Wordpress

To jest siatka bezpieczeństwa. Kopia zapasowa to jedna z pierwszych rzeczy, których będziesz potrzebować, aby przywrócić witrynę, jeśli zostaniesz zhakowany.

Twórz kopie zapasowe swojej witryny przynajmniej tak często, jak przeprowadzasz konserwację lub aktualizujesz ją. Nie ma usprawiedliwienia w tym dziale, nie gdy istnieją doskonałe usługi tworzenia kopii zapasowych i wtyczki, które będą uruchamiać automatyczne kopie zapasowe. Niektóre sugestie dotyczące wtyczek obejmują:

Zalecana literatura: Native vs plugin - Kopia zapasowa WordPress różnymi metodami

Utwórz harmonogram i pozwól wtyczce zrobić resztę.

Niektóre z tych wtyczek mają łatwe opcje przywracania. Sprawdź, czy wtyczka tworzy kopię zapasową całej witryny, w tym wszystkich baz danych i katalogów. Chociaż nie zapobiega to włamaniom do WordPressa, zapewnia spokój ducha przywracając witrynę, jeśli zdarzy się coś nie do pomyślenia.

Wyślij mi listę kontrolną bezpieczeństwa WordPress

12. Używaj zaufanych źródeł tylko do pobierania

 

Jeśli masz napięty budżet (a nawet jeśli nie masz), możesz ulec pokusie skorzystania ze wszystkich funkcji i funkcjonalności wtyczek/motywów premium za darmo: pirackie lub pęknięte wtyczki.

Nie możesz przechytrzyć hakera, jeśli pobierasz materiały premium z nieuczciwych lub nieautoryzowanych źródeł - wrócą, aby cię ugryźć. Mają złą reputację, ponieważ wypełnią te legalne wtyczki/motywy „premium” złośliwym oprogramowaniem i pozwolą Ci zrobić resztę.

Złamane wtyczki lub motywy będą zawierać ukryte tylne drzwi, które pozwolą im przejąć kontrolę nad Twoją witryną do woli. Skorzystanie z takiego pobrania będzie wszystkim, czego potrzebują, aby przekształcić wygląd Twojej marki w sieci w gigantyczny plakat z tabletkami na powiększenie – lub, co gorsza, złośliwym oprogramowaniem.

nie używaj pirackich lub pustych pobrań

Twoja witryna szybko znajdzie się na czarnej liście, nawet w wyszukiwarkach i przeglądarkach, jeśli zawiera złośliwe oprogramowanie. 

To znana i bardzo popularna taktyka hakerów.

zerowane motywy

Pirackie motywy i wtyczki są pełne tylnych drzwi i złośliwego oprogramowania. Jest to jeden z najłatwiejszych do rozwiązania problemów związanych z bezpieczeństwem WordPressa. Najlepiej wybrać zaufany motyw z zaufanego źródła, takiego jak ten, który tutaj sprawdziliśmy: Motyw Avada

Pirackie, zerowane lub złamane rzeczy? Nie kłopocz się.

Jesteś dobry z oficjalnymi katalogami motywów i wtyczek, więc spróbuj się ich trzymać. Możesz także zaufać źródłom takim jak ElegantThemes, Las tematyczny, Kanion Kodu itp.

13. Zabezpiecz swoją witrynę, wyglądając jak Pro

Nowicjusz jest łatwiejszy do zhakowania.

Przynajmniej tak myśli większość hakerów (nie błędnie). 

Zmień wszystkie wartości domyślne: posty, komentarze, nazwy użytkowników, nazwy katalogów itp.

Łatwiej jest, gdy konfigurujesz.

Jeśli masz już uruchomiony WordPress, przejdź do Ustawienia> Różne (w kontrolkach administratora), aby zmienić nazwy katalogów. Będzie to kolejny krok na drodze do powstrzymania problemów z bezpieczeństwem WordPress i znacznie utrudni włamanie się do witryny.

Aby ukryć wersję WordPressa, na którym jesteś, pamiętaj, aby usunąć /wp-admin/install.php i wp-admin/upgrade.php. Zrób krok dalej i usuń znacznik metageneratora („”) z wp-content/nazwa_twojego_motywu/header.php. Powinieneś także usuń szczegóły wersji z kanału RSS.

Aby to zrobić, otwórz wp-includes/general-template.php. W okolicach linii 1860 znajdziesz to:

funkcja the_generator ( $args) {
  echo zastosuj_filtry('generator', pobierz_generator($args), $args). "\n";
}

Dodaj hash przed 'Echo' polecenie i jesteś posortowany.

funkcja the_generator ( $args ) {
  #echo zastosuj_filtry('generator', pobierz_generator ($args), $typ). "\n";
}

14. Dobre zabezpieczenia WordPressa wymagają dobrych uprawnień do plików

Zasadą jest 755 dla katalogów i 644 dla plików.

Chociaż może się to różnić w zależności od serwera i typu pliku – w większości przypadków powinieneś bardzo dobrze pracować z tymi uprawnieniami.

Najlepiej poprosić gospodarza o sprawdzenie, a jeśli masz bezpośredni dostęp, możesz to zrobić samodzielnie.

Dla katalogów:

znajdź /ścieżka/do/twojego/wordpress/instalacja/ -type d -exec chmod 755 {} \;

Dla plików:

znajdź /ścieżka/do/twojego/wordpress/instalacja/ -type f -exec chmod 644 {} \;

15. Bezpieczeństwo witryny: nigdy nie ustawiaj uprawnień do plików na 777

Jeśli poważnie myślisz o powstrzymaniu hakerów WordPress - NIGDY nie ustawiaj uprawnień do plików/katalogów na 777 unless chcesz dać pełną kontrolę nad nim wszystkim, w tym hakerom.

Istnieje bardzo niebezpieczna tendencja wśród początkujących do ustawiania uprawnień do plików na 777, "ponieważ to łatwe" lub "ponieważ później to naprawimy" lub "ponieważ zmienię to później".

To jest Ekstremalnie niebezpieczne - 777 oznacza, że ​​każdy w internecie może zmienić zawartość tego pliku.

Po ustawieniu tych uprawnień Twoja strona internetowa jest otwartym domem. Gdy uzyskają dostęp do jednego pliku, możesz być pewien, że bardzo łatwo jest przeskoczyć do innych plików lub zainstalować backdoory i inne nieprzyjemne rzeczy na Twojej stronie.

Opona Kodeks WordPress zawiera kompletny przewodnik po uprawnieniach plików: jak je zmienić i zalecane uprawnienia dla niektórych plików.

Musisz zrównoważyć zabezpieczenie swojej strony internetowej z funkcjonalnością, więc zacznij od niskiego poziomu i stopniowo zwiększaj uprawnienia, aż uzyskasz właściwe rozwiązanie. Odpowiednie uprawnienia do plików z pewnością pomogą uniknąć włamań do witryny. Ponownie, jest to jeden z łatwiejszych problemów bezpieczeństwa WordPressa, musisz tylko być tego świadomy.

16. Zezwól na dostęp do administratora WP i loguj się do swojego adresu IP tylko poprzez filtrowanie IP

Bardzo prostym, eleganckim sposobem ograniczenia dostępu do strony logowania i obszaru administracyjnego jest filtrowanie IP.

Wszystko, co musisz zrobić, to dodać ten kod do .htaccess. Ta sugestia pochodzi z dzięki Sucuri, którzy zapewniają doskonałą usługę bezpieczeństwa WordPress


Zamów Odmów, Zezwól
Odmowa od wszystkich
Zezwól od [Dodaj tutaj swój adres (y) IP]

Teraz działa to tylko dla statycznych adresów IP, ale możesz zrobić to samo dla dynamicznych adresów IP z tym:


Zamów Odmów, Zezwól
Odmowa od wszystkich
Zezwól od [Dodaj tutaj swoją nazwę domeny]

Aby ograniczyć dostęp do katalog wp-admin, dodaj to do htaccess:


Zamów Odmów, Zezwól
Odmowa od wszystkich
Zezwól od [Dodaj tutaj swój adres (y) IP]

Według nazwy domeny:


Zamów Odmów, Zezwól
Odmowa od wszystkich
Zezwól od [Dodaj tutaj swoją nazwę domeny]

Źródło: blog.Sucuri.net

17. Wtyczki zabezpieczające do blokowania hacków WordPress

Chociaż nie zalecamy używania wielu wtyczek, jeśli chodzi o Wtyczki zabezpieczające WordPress, są takie, które naprawdę warto zainstalować, aby zwiększyć odporność witryny.

Wtyczki bezpieczeństwa Wordress

  • iThemes Security Pro - Słuchaj, bez wątpienia wiele z powyższych działań jest trochę technicznych. Rozumiemy to. Jeśli nie jesteś zaawansowany technicznie, mamy dla Ciebie rozwiązanie. iThemes Security to najlepsza wtyczka bezpieczeństwa WordPress do zabezpieczania i ochrony Twojej witryny.

  • Zainstalować Wtyczka dziennika audytu bezpieczeństwa WP - jest to najbardziej wszechstronna wtyczka dziennika aktywności WordPress. Wtyczka rejestruje wszystko, co dzieje się w Twojej witrynie WordPress w dzienniku audytu (inaczej dzienniku aktywności WordPress), dzięki czemu trzymasz hakerów z daleka. Dzieje się tak, ponieważ możesz zidentyfikować ich próby ataku, zanim faktycznie włamią się do Twojej witryny WordPress, mając w ten sposób czas na udaremnienie ich złośliwych działań. Przeglądarka dziennika audytu 

Google Authenticator i Dwuskładnikowe uwierzytelnianie Duo to świetny sposób na dodanie dodatkowej warstwy ochrony na stronie logowania. Na Twój adres e-mail/telefon komórkowy zostanie wysłany kod autoryzacyjny, bez którego użytkownik/haker nie będzie mógł się zalogować.

Czy jest coś lepszego niż fajny grill? Ta wtyczka zablokuje ciągi URI zawierające eval (baza 64 i inne podejrzanie długie ciągi żądań.

Sprawdź swój motyw pod kątem złośliwego oprogramowania i ukrytych tylnych drzwi za pomocą tej wtyczki, zanim ktoś wykorzysta te słabości w bezpiecznej witrynie/blogu.

  • Wtyczki antywirusowe

Ten jest oczywisty. Przeprowadzaj częste skanowanie witryny i eliminuj je, zanim zostaną przechwycone. Wtyczki/usługi takie jak SucuriWordfence, itp. Wspomniany wcześniej Acunetix Secure WordPress to kolejny dobry. Skaner wykorzystania sprawdzi również Twoją witrynę pod kątem złośliwego kodu.

Jeśli jesteś zainteresowany, napisaliśmy świetne porównanie Sucuri kontra Wordfence co porównuje tych dwóch dużych chłopców łeb w łeb.

Wyślij mi listę kontrolną bezpieczeństwa WordPress

Niezbędna lista kontrolna do pełnego bezpieczeństwa witryny — wersja YouTube

Dzięki Webucator, dostawcy Szkolenie WordPress, utworzyliśmy tę listę kontrolną jako film.

Nasza następna część tego artykułu dotyczy naprawy włamania zabezpieczającego WordPressa, gdy już się zdarzy.

Witryna została zhakowana? 7 kroków do pełnego przywrócenia witryny restore

Sucuri publikuje raport trendów dotyczących ataków hakerskich na stronę internetową za każdy kwartał. W ich Najnowszy raport, ujawnili, że różne wersje WordPressa zasilały 94% stron zhakowanych w 2019 r.

Zhakowane witryny WordPress pozostają prawdziwym problemem. Będąc najpopularniejszą platformą do tworzenia stron internetowych, prawdopodobieństwo zhakowania jest znacznie wyższe w przypadku witryn WordPress.

Nie jest to zaskakujące, ponieważ WordPress jest zdecydowanie największą platformą do tworzenia nowych stron internetowych. Dopóki WordPress będzie popularny, hakerzy będą uważać, że opłacalne będzie szukanie luk w witrynach WordPress. To naprawdę gra liczb.

I nie ma znaczenia, jakie środki zapobiegawcze podejmiesz; niemożliwe jest zagwarantowanie idealnego bezpieczeństwa jakiejkolwiek strony internetowej. To, co możesz zrobić, to utrudnić hakowanie, aby ci, którzy szukają nisko wiszących owoców, nie przeszkadzali lub nie zdołali go zhakować.

W tym samouczku przedstawimy Ci 7 kroków, które powinieneś wykonać, aby naprawić zhakowaną witrynę WordPress.

Zanim rozpoczniemy procedurę, w pierwszej kolejności dowiedzmy się, co jest przyczyną problemu. Ogólnie istnieją dwa rodzaje luk:

  1. Wspólne luki i
  2. Luki w zabezpieczeniach.

Przyjrzyjmy się bliżej każdemu typowi. Oba typy mogą zostać wykorzystane przez hakerów.

Zanim zaczniesz – przywracanie zhakowanej witryny nie jest czymś, czego mogą się podjąć osoby bez wystarczającej wiedzy. Bardzo wskazane jest, aby poprosić o pomoc Programiści WordPress którzy są wysoko wykwalifikowani, zanim spróbują to zrobić, jeśli nie czujesz się komfortowo majstrując.

Typowe luki w zabezpieczeniach, które powodują zhakowanie witryn WordPress

Typowe luki w zabezpieczeniach mogą pochodzić z komputera lokalnego lub dostawcy hostingu. Większość z nas prawdopodobnie zna tego typu problemy.

Te problemy mogą wystąpić, jeśli komputer lub sieć lokalna zostaną naruszone. Gdy hakerzy uzyskają dostęp do Twojego komputera lub sieci, mogą łatwo zaatakować Twoją witrynę — w wyniku czego zostanie zhakowana lub zhakowana witryna WordPress.

Sytuacji tych można uniknąć, korzystając z niezawodnych narzędzi do skanowania antywirusowego i chroniącego przed złośliwym oprogramowaniem. Podczas korzystania z Internetu musisz kierować się zdrowym rozsądkiem. Comodo i złośliwe oprogramowaniebytes masz kilka przydatnych wskazówek, jak chronić swój komputer przed hakerami. Większość z nich ma całkiem zdrowy rozsądek, jeśli się nad nimi zastanowić, takie jak aktualizowanie oprogramowania zarówno dla działającego komputera stacjonarnego, jak i urządzeń peryferyjnych, takich jak router internetowy. 

użyj antywirusa

Drugi rodzaj podatności może wynikać z twojego dostawcy usług hostingowych, zwłaszcza jeśli korzystasz ze współdzielonego pakietu hostingowego. Jak być może wiesz, wspólny pakiet hostingowy udostępnia serwer wielu użytkownikom.

Jeśli którykolwiek z tych użytkowników nie zastosuje się do najlepszych praktyk, cały serwer jest poważnie zagrożony. Oczywiście w scenariuszu hostingu współdzielonego jest bardzo mało prawdopodobne, że wszyscy użytkownicy będą stosować dobre praktyki bezpieczeństwa, więc pakiety hostingu współdzielonego są z definicji ryzykowne.

W niektórych przypadkach jedna witryna we współdzielonym pakiecie hostingowym zostaje naruszona, co umożliwia hakerowi poruszanie się na boki lub przeskakiwanie do innych witryn na tym samym serwerze. W takim przypadku musisz skonsultować się z dostawcą usług hostingowych, który podejmie niezbędne kroki.

Oznacza to, że nawet jeśli Twoja witryna jest w pełni zaktualizowana i chroniona, nadal możesz otrzymać witrynę zhakowaną przez WordPress.

Nawiasem mówiąc, jeśli szukasz bardzo bezpiecznego dostawcy usług hostingowych, powinieneś poważnie rozważyć przeczytanie naszego Przegląd hostingu InMotion - czujemy się bardzo dobrze chronieni w tej usłudze.

Teraz, gdy zidentyfikowaliśmy wspólne luki, przyjrzyjmy się aspektom bezpieczeństwa.

Zhakowany przez luki

Istnieje kilka rodzajów luki w zabezpieczeniach WordPress. Porozmawiamy o tych, które są najczęstsze:

Słabe kombinacje nazwy użytkownika/hasła

Nie powinniśmy mówić, jak ważne jest używanie bezpiecznego hasła. Od wersji 3.0 sam WordPress położył większy nacisk na zmuszanie użytkowników do używania silnego hasła, na przykład w panelu administratora znajduje się wbudowana funkcja wykrywania siły hasła.

Ogólna zasada jest taka, że ​​nigdy nie należy używać przewidywalnej nazwy użytkownika (takiej jak admin) i zawsze używać silnych haseł. Utrudni to hakerom dostęp do Twojej witryny.

Błędy i luki w motywach/wtyczkach 

Chociaż najlepiej jest używać znanych motywów i wtyczek, czasami popularne produkty mogą mieć ukryta luka w zabezpieczeniach także. Jeśli tak się stanie, prawdopodobnie usłyszysz o tym na popularnych blogach z wiadomościami IT i innych źródłach informacji o bezpieczeństwie WordPress.

Jednak prawdopodobnie będziesz bezpieczniejszy, jeśli upewnisz się, że używasz tylko zaufanych motywów lub wtyczek - ponieważ będziesz mógł szybko zaktualizować wersję do poprawionej. Sprawdź recenzje, oceny, liczbę pobrań itp., aby przeanalizować niezawodność.

oraz nigdy używaj pirackich lub zerowych motywów lub wtyczek. Wiadomo, że większość z nich zawiera szkodliwy kod, który tworzy backdoora w Twojej witrynie. To dosłownie sposób na pełne zdalne sterowanie Twoją witryną.

W rzeczywistości, jeśli używasz pękniętego, pirackiego lub zerowego motywu lub wtyczki, Twoja witryna jest JUŻ zhakowana. Będziesz korzystać ze strony, która nagle zacznie robić dziwne rzeczy, takie jak wyświetlanie podejrzanych linków, rozpowszechnianie złośliwego oprogramowania, a nawet branie udziału w atakach DDoS.

To, co uważasz za bezpłatne, będzie Cię kosztować znacznie więcej, niż się spodziewasz.

Brak aktualizacji rdzenia WP, motywów lub wtyczek

Korzystanie z przestarzałej wersji rdzenia WordPressa, motywów lub wtyczek to kolejny główny powód naruszeń, które spowodują zhakowanie stron internetowych. Większość aktualizacji zawiera kod, który poprawia bezpieczeństwo i wydajność Twojej witryny. Dlatego konieczne jest zaktualizowanie witryny, motywów i wtyczek, gdy tylko będą dostępne. Przed aktualizacją należy wykonać pełną kopię zapasową witryny.

Co zrobić, gdy Twój WordPress zostanie zhakowany?

Nawet jeśli mogłeś podjąć kroki w celu złagodzenia ryzyka, nadal możesz paść ofiarą hakowania WordPress.

Nie panikuj i postępuj zgodnie z krokami opisanymi poniżej.

1. Zidentyfikuj rodzaj włamania

Sposób na odzyskanie witryny zależy od rodzaju włamania do WordPressa. Oznacza to, że pierwszym krokiem jest zdefiniowanie typu.

wykryj typ hakowania

Oto pytania, które powinieneś zadać, aby to zrobić:

  • Czy możesz uzyskać dostęp do sekcji administratora?
  • Czy Twoja witryna jest przekierowywana do innej witryny?
  • Czy w Twojej witrynie są jakieś nieznane linki?
  • Czy Google ostrzega odwiedzających o Twojej witrynie?
  • Czy Twój dostawca usług hostingowych poinformował Cię, że Twoja witryna wygląda podejrzanie?
  • Czy Twoja witryna wyświetla nieznane reklamy w nagłówku, stopce lub innych sekcjach?
  • Czy wyświetlane są jakieś niechciane wyskakujące okienka?
  • Czy nastąpił nieoczekiwany wzrost wykorzystania przepustowości?

Przejrzyj pytania jedno po drugim i spróbuj znaleźć odpowiedzi na każde z nich. Pomoże Ci to znaleźć najlepszy sposób na odzyskanie kontroli nad zhakowaną witryną WordPress.

2. Spróbuj przywrócić z kopii zapasowej

Jeśli postępujesz zgodnie z najlepszymi praktykami, powinieneś tworzyć codzienne, cotygodniowe lub comiesięczne kopie zapasowe witryny. Częstotliwość tworzenia kopii zapasowych zależy od tego, jak często publikujesz lub wprowadzasz zmiany w swojej witrynie.

Gdy regularnie wykonujesz kopie zapasowe, odzyskanie zhakowanej witryny WordPress jest tak proste, jak przywrócenie najnowszej kopii zapasowej. Jeśli masz skonfigurowany harmonogram automatycznego tworzenia kopii zapasowych, znajdź ostatnią kopię zapasową przed zhakowaniem witryny i przywróć tę wersję.

przywróć z kopii zapasowych

Następnie musisz upewnić się, że aktualizujesz wszelkie wtyczki, motywy lub wszystko, co nie zostało zaktualizowane.

Co zrobić, jeśli nie wykonałeś kopii zapasowych swojej witryny? Czy to oznacza, że ​​na zawsze utraciłeś swoją witrynę?

Właściwie nie.

Są też inne opcje. Większość renomowanych usług hostingowych regularnie tworzy kopie zapasowe witryn swoich klientów. Zapytaj swojego dostawcę usług hostingowych, czy przechowuje kopię zapasową. Jeśli tak, możesz poprosić ich o przywrócenie witryny z ostatniej stabilnej kopii zapasowej.

Jeśli nie ma kopii zapasowej, będziesz musiał przejść przez procedurę czyszczenia zhakowanej witryny WordPress, którą pokazujemy poniżej.

3. Poszukaj pomocy u swojego dostawcy usług hostingowych

Ponad 40% zhakowanych stron internetowych miało jakąś lukę w zabezpieczeniach platformy hostingowej. Dlatego po zhakowaniu WordPressa dobrym pomysłem może być zwrócenie się do dostawcy usług hostingowych o pomoc w odzyskaniu witryny.

szukaj pomocy u gospodarza

Każda niezawodna firma hostingowa powinna być chętna do pomocy w takich przypadkach. Zatrudniają profesjonalistów, którzy na co dzień mają do czynienia z takimi sytuacjami. Doskonale znają środowisko hostingowe i mają dostęp do zaawansowanych narzędzi do skanowania stron internetowych.

W związku z tym będą w stanie pomóc w odzyskaniu najczęstszych ataków hakerskich na witryny. Jeśli włamanie pochodziło z serwera, Twoja firma hostingowa byłaby w stanie pomóc Ci odzyskać witrynę.

4. Skanuj w poszukiwaniu złośliwego oprogramowania

W wielu przypadkach hakerzy uzyskują dostęp do Twojej witryny za pomocą tylnych drzwi. Backdoory tworzą nieautoryzowane punkty wejścia do Twojej witryny. Korzystając z tylnych drzwi, hakerzy mogą uzyskać dostęp do Twojej witryny bez konieczności podawania danych logowania i pozostają praktycznie niewykryci.

niebezpieczeństwo złośliwego oprogramowania

Oto kilka typowych lokalizacji backdoorów, które musisz sprawdzić, czy Twoja witryna nie została zhakowana –

  • Motywy: Większość hakerów woli umieścić tylne drzwi w jednym z nieaktywnych motywów. Dzięki temu nadal będą mieli dostęp do Twojej witryny, nawet jeśli będziesz ją regularnie aktualizować. Dlatego ważne jest, aby usunąć wszystkie nieaktywne motywy.
  • Wtyczki: Folder wtyczek to kolejne potencjalne miejsce do ukrycia złośliwego kodu. Powodów jest kilka. Po pierwsze, większość ludzi nigdy nie myśli o sprawdzaniu plików wtyczek. Wolą również nie aktualizować wtyczek, dopóki działają. Co więcej, istnieją słabo zakodowane wtyczki, które mogą zostać wykorzystane do uzyskania nieautoryzowanego dostępu do dowolnej witryny WP.
  • Folder przesyłania: W większości scenariuszy nigdy nie musisz zawracać sobie głowy sprawdzaniem folderu przesyłania, ponieważ ten folder zawiera tylko przesłane pliki. Jednak niektórzy hakerzy wolą ten folder, ponieważ mogą łatwo ukryć złośliwy plik wśród setek lub tysięcy plików rozmieszczonych w różnych folderach. Ponieważ folder jest zapisywalny, spełnia również swoje zadanie.
  • Zawiera folder: To kolejny folder często ignorowany przez większość użytkowników. W rezultacie hakerzy umieszczają backdoora w tym folderze i uzyskują pełny dostęp do Twojej witryny.
  • Plik wp-config.php: Bardzo często można znaleźć w tym pliku złośliwy kod. Ponieważ jednak plik jest bardzo dobrze znany, wyrafinowani hakerzy unikają jego używania. 

Nie lubisz brudzić sobie rąk złośliwymi skryptami? Próbować iThemes security i niech wykona brudną robotę.

Jedynym sposobem na pozbycie się backdoora jest usunięcie złośliwego kodu ze strony internetowej. Istnieje kilka wtyczek, które umożliwiają skanowanie witryny w poszukiwaniu złośliwego kodu.

Wśród nich świetnymi wyborami są następujące wtyczki premium:  iThemes SecuritySucuri BezpieczeństwoObrońca WPMUDev są świetnymi opcjami.

Poniższe są również dobrymi opcjami, ale pamiętaj, że obie nie były aktualizowane przez ponad 3 lata od aktualizacji tego artykułu. Oznacza to, że mogą nie być tak niezawodne, jak kiedyś:  Skaner wykorzystaniaMotyw Authenticity Checker.

Możesz użyć tych bezpłatnych wtyczek do wykrywania wszelkich niechcianych zmian w motywach, wtyczkach i podstawowych plikach Twojej witryny. Jeśli jednak poważnie myślisz o naprawie swojej witryny, zdecydowanie zalecamy wybór jednego z produktów premium. 

Będą one bardziej aktualne i ogólnie bardziej niezawodne niż jakikolwiek darmowy produkt.

Wtyczka bezpieczeństwa sucur

Jeśli wtyczki znajdą podejrzany plik, wykonaj pełną kopię zapasową i usuń plik lub zobacz, jaki kierunek działania sugeruje wtyczka. Ponadto, jeśli robisz kopię zapasową, pamiętaj, że robisz kopię zapasową zhakowanej witryny.

A jeśli motyw lub wtyczka zostaną naruszone, usuń je ze swojej witryny. Pobierz najnowszą kopię i prześlij ją do swojej witryny.

W przypadku wykrycia zmiany w którymkolwiek z podstawowych plików, należy pobrać świeżą instalację WordPressa i przeprowadzić ręczną aktualizację (tj. nadpisać wszystkie pliki nowymi).

Możesz też pobrać nową kopię aktualnej wersji WordPressa i zastąpić tylko zhakowane pliki.

5. Sprawdź użytkowników WordPress

Prawdopodobnie masz kilku użytkowników w swojej witrynie. Jak już wiesz, mają różne możliwości w zależności od roli użytkownika.

Czasami hakerzy WordPress tworzą nowego użytkownika z niezbędnymi uprawnieniami, aby mogli zalogować się do Twojej witryny, nawet jeśli zgubią tylne drzwi.

Lub mogą faktycznie użyć nazwy użytkownika ze słabym hasłem, aby włamać się do Twojej witryny.

Aby temu zapobiec, przejdź do opcji Ustawienia > Użytkownicy z pulpitu nawigacyjnego. Przejrzyj wszystkich użytkowników i ich role. Ponadto zresetuj WSZYSTKIE hasła WSZYSTKICH użytkowników.

Co najważniejsze, upewnij się, że żadne nieautoryzowane konto nie ma przypisanej roli administratora. W przypadku kont budzących wątpliwości usuń je natychmiast. Jeśli są prawidłowymi użytkownikami, zawsze możesz ponownie utworzyć konta później.

Oto kilka innych sprawdzonych metod:

6. Zmień tajne klucze

Tajne klucze to przydatna funkcja bezpieczeństwa WordPressa.

Klucze te zawierają losowo wygenerowany tekst, który pomaga w szyfrowaniu informacji zapisanych w plikach cookies. Powinieneś skorzystać z poniższej procedury, aby sprawdzić, czy masz je w swojej witrynie. Jeśli ich nie masz, możesz je stworzyć.

Nawet jeśli już je masz, jeśli Twoja witryna została zhakowana, teraz jest dobry moment, aby je zmienić.

Przede wszystkim wygeneruj zestaw tajnych kluczy za pomocą pod tym linkiem. Generator losowych kodów utworzy nowy zestaw unikalnych kodów za każdym razem, gdy odświeżysz stronę.

Teraz przejdź do swojej witryny i otwórz wp-config.php plik. Kieruj się w stronę linii 49, a zobaczysz coś takiego. Numer wiersza może się różnić w Twoim pliku, ale musisz zapoznać się z następującą sekcją:

klucze bezpieczeństwa wordpress

Skopiuj i wklej wartość z tych, które właśnie wygenerowałeś w powyższym linku. Zapisz plik. Spowoduje to zresetowanie wszystkich plików cookie i wszystkich zalogowanych użytkowników, więc jeśli byłeś zalogowany do administratora, zostaniesz poproszony o ponowne zalogowanie.

7. Zmień WSZYSTKIE swoje hasła

Jest to powszechny, ale krytyczny krok w przywracaniu zhakowanej witryny WordPress – zresetuj wszystkie swoje hasła. Popularne hasła to WP admin, cPanel, MySQL, FTP itp.

Zresetuj wszystkie te hasła wraz z hasłami dowolnej usługi innej firmy, której używasz w witrynie. 

Oto jak zmienić hasła:

  • Aby zmienić hasło, przejdź do Użytkownicy > Twój profil z pulpitu nawigacyjnego. Nowe pole hasła znajdziesz w sekcji „Zarządzanie kontem”.
  • Aby zmienić hasła cPanel, MySQL, FTP, zaloguj się do panelu sterowania swojego konta hostingowego i postępuj zgodnie z dostępnymi opcjami. Jeśli jesteś zdezorientowany, skontaktuj się z obsługą hostingową, aby uzyskać pomoc.

Podczas resetowania lub zmiany haseł upewnij się, że używasz teraz silnego hasła. Powinieneś również zmusić istniejących użytkowników do zresetowania hasła do swoich kont.

Możesz użyć wtyczki Awaryjne resetowanie hasła aby wymusić resetowanie hasła dla wszystkich użytkowników.

Sprawdzanie siły hasła wordpress

 

Przyszłe kroki, aby uniknąć włamania

Chociaż powyższe kroki pomogą Ci przywrócić Twoją witrynę, powinieneś traktować to jako znak ostrzegawczy. Oto kilka ważnych kroków, które należy podjąć, aby zapewnić ochronę witryny w przyszłości przed innymi próbami włamania do WordPressa:

Utwórz harmonogram kopii zapasowej

Jak już wiesz, regularne tworzenie kopii zapasowych witryny jest kluczowe. Kopie zapasowe mogą Cię uratować, jeśli Twoja witryna została zhakowana. Wielokrotne kopie zapasowe są jeszcze lepsze, ponieważ pozwalają cofnąć się w czasie do migawki witryny przed atakiem hakera.

zrzut ekranu aktualizacji wersji

 

Na szczęście nie musisz tego robić ręcznie. Istnieje wiele darmowych i premium wtyczek, które pomogą Ci regularnie tworzyć kopie zapasowe Twojej witryny. UpdraftPlus to popularna wtyczka do tworzenia kopii zapasowych, a BackupBuddy i Jetpack to niektóre z wysoce zalecanych rozwiązań do tworzenia kopii zapasowych premium.

Zaktualizuj wszystko

Wydaje nam się, że nie musimy podkreślać, jak ważne jest aktualizowanie witryny. Powinieneś zaktualizować rdzeń WordPressa, aktywne motywy, wtyczki i wszystko inne, co jest możliwe do zaktualizowania. Jednocześnie upewnij się, że usuwasz również nieużywane motywy i wtyczki.

Skonfiguruj wtyczkę bezpieczeństwa

Jeśli chcesz zwiększyć bezpieczeństwo swojej witryny, powinieneś użyć wtyczki wzmacniającej, takiej jak iThemes Security, Wordfence Security lub Defender. Wtyczki te pomagają w tworzeniu zapory sieciowej, dzięki czemu można zapobiegać złośliwemu ruchowi, blokować atakujących i radzić sobie z innymi zagrożeniami. Możesz również rozważyć zainstalowanie pełna zapora aplikacji internetowej takich jak zapora Sucuri.

Rozważ hosting zarządzany

Gdy wybierzesz hosting zarządzany, zajmą się bezpieczeństwem, konserwacją, wydajnością i innymi kwestiami dotyczącymi Twojej witryny. Oznacza to, że nie będziesz musiał się martwić o wszystkie te kroki. Niektórzy niezawodni dostawcy hostingu zarządzanego to InMotion, WPEngine, i Kinsta.

Limit Login Attempts 

Domyślnie WordPress pozwala każdemu wypróbować nieograniczoną liczbę haseł dla dowolnego konta. Prowadzi to do ataków brute force i możliwych luk w zabezpieczeniach witryny. Na szczęście istnieje kilka darmowych wtyczek, takich jak Zaloguj Lockdown i Bezpieczeństwo logowania aby pomóc Ci ograniczyć próby logowania.

Wyłącz wykonywanie PHP 

W większości przypadków hakerzy tworzą backdoory, tworząc pliki PHP, które wyglądają jak pliki podstawowe. Możesz zapobiec tym zagrożeniom, wyłączając wykonywanie PHP w odpowiednich katalogach, takich jak folder uploads i include. Tutaj jest samouczek krok po kroku aby to zrobić.

Dodaj dodatkowe hasło dla administratora

Inną przydatną sztuczką, aby zapewnić bezpieczeństwo witryny, jest użycie dodatkowego hasła w celu uzyskania dostępu do sekcji administratora. Jest to bardzo łatwe w cPanel. Podążać ten poradnik aby dodać hasło do administratora WP.

Wolisz wideo? Obejrzyj ten film z Sucuri

Jeśli masz trochę czasu na zapoznanie się z poniższym filmem, który może pomóc w zidentyfikowaniu zhakowanych witryn WordPress i sposobach ich naprawy. Kilka razy wspomnieliśmy o Sucuri w tym artykule, ten film z Sucuri jest całkiem kompletnym widokiem zhakowanych witryn.

Ostatnie słowa: jak naprawić zhakowaną witrynę

Bycie ofiarą zhakowanej witryny WordPress to okropne doświadczenie, zwłaszcza jeśli jest to pierwszy raz. Jednak teraz, po przeczytaniu tego artykułu, powinieneś mieć jasne pojęcie o niezbędnych krokach, aby odzyskać zhakowaną witrynę.

Zapraszam do zakładek i udostępnienia tego artykułu, aby inni również mogli wiedzieć o krokach.

Podsumowanie

Jeśli jesteś zdezorientowany, po prostu wybierz rozwiązanie hostingu zarządzanego i niech ktoś inny zajmie się tym za Ciebie.

To dopiero początek. Wraz z ciągłym rozwojem sieci, hakerzy i ich próby infiltracji Twojej witryny i wyrzucenia Cię z niej. Bądź o krok do przodu, dowiadując się więcej o swoim przyjaznym CMS i nadążając za aktualizacjami i śledząc bezpieczeństwo WordPressa - to z pewnością uchroni Cię przed włamaniami do witryny.

Bądź bezpieczny.

Potrzebujesz pomocy w czyszczeniu witryny? Wypróbuj te najwyżej oceniane niedrogie koncerty na Fiverr!

logo piątki

Kliknij tutaj znaleźć ekspertów na temat Bezpieczeństwo WordPress.

Kliknij tutaj stworzyć pełna strona WordPress.

 

O autorze
Dawid Attar
David pracuje w branży internetowej i cyfrowej od 21 lat. Ma ogromne doświadczenie w branży oprogramowania i projektowania stron internetowych, wykorzystując WordPress, Joomla i nisze je otaczające. Współpracował z agencjami rozwoju oprogramowania, międzynarodowymi firmami zajmującymi się oprogramowaniem, lokalnymi agencjami marketingowymi, a obecnie jest dyrektorem ds. operacji marketingowych w Aphex Media – agencji SEO. Jako konsultant cyfrowy koncentruje się na pomaganiu firmom w uzyskaniu przewagi konkurencyjnej dzięki połączeniu ich strony internetowej i dostępnych obecnie platform cyfrowych. Połączenie wiedzy technologicznej z dużym zmysłem biznesowym zapewnia jego pismom przewagę konkurencyjną.

Jeszcze jedna rzecz... Czy wiesz, że osoby, które udostępniają przydatne rzeczy, takie jak ten post, również wyglądają NIESAMOWITE? ;-)
Proszę zostaw użyteczny skomentuj swoje przemyślenia, a następnie udostępnij to na swoich grupach na Facebooku, które uznają to za przydatne i wspólnie zbierzmy korzyści. Dziękuję za udostępnienie i bycie miłym!

Ujawnienie: Ta strona może zawierać linki do zewnętrznych witryn produktów, które kochamy i gorąco polecamy. Jeśli kupisz sugerowane przez nas produkty, możemy otrzymać opłatę za polecenie. Takie opłaty nie wpływają na nasze rekomendacje i nie przyjmujemy płatności za pozytywne recenzje.

Autorzy promowani w:  Inc Czasopismo Logo .   Logo Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   i wiele więcej ...