Uruchomienie własnej witryny WordPress w dzisiejszych czasach jest dość łatwe. Niestety hakerzy szybko zaczną atakować Twoją witrynę.

Najlepszym sposobem na zabezpieczenie witryny WordPress jest zrozumienie każdego punktu podatności, który wynika z uruchamiania witryny WordPress . Następnie zainstaluj odpowiednie zabezpieczenia, aby blokować hakerów w każdym z tych punktów.

W tym artykule dowiesz się, jak lepiej zabezpieczyć swoją domenę, login WordPress oraz narzędzia i wtyczki dostępne do zabezpieczenia witryny WordPress .

Utwórz domenę prywatną

W dzisiejszych czasach bardzo łatwo jest znaleźć dostępną domenę^{(find an available domain)} i kupić ją po bardzo niskiej cenie. Większość ludzi nigdy nie kupuje żadnych dodatków do swojej domeny. Jednak jednym z dodatków, który zawsze powinieneś rozważyć, jest Ochrona prywatności^{(Privacy Protection)} .

Istnieją trzy podstawowe poziomy ochrony prywatności w GoDaddy , ale odpowiadają one również ofertom większości dostawców domen.

• Podstawowe^(Basic) : ukryj swoje imię i nazwisko oraz dane kontaktowe w katalogu WHOIS . Jest to dostępne tylko wtedy, gdy rząd zezwala na ukrycie informacji kontaktowych domeny.
• Pełna^(Full) : zastąp własne informacje alternatywnym adresem e-mail i danymi kontaktowymi, aby ukryć swoją faktyczną tożsamość.
• Ultimate : dodatkowe zabezpieczenia, które blokują skanowanie złośliwych domen i obejmują monitorowanie bezpieczeństwa witryny dla Twojej rzeczywistej witryny.

Zwykle uaktualnienie domeny do jednego z tych poziomów bezpieczeństwa wymaga jedynie wybrania uaktualnienia z listy rozwijanej na stronie z listą domen.

Podstawowa^(Basic) ochrona domeny jest dość tania (zwykle około 9,99 USD rocznie), a wyższy poziom bezpieczeństwa nie jest dużo droższy.

Jest to doskonały sposób na powstrzymanie spamerów przed zdrapaniem Twoich danych kontaktowych z bazy danych WHOIS lub innymi osobami, które chcą uzyskać dostęp do Twoich informacji kontaktowych.

Ukryj^(Hide) pliki wp-config.php i .htaccess

Podczas pierwszej instalacji WordPressa^{(install WordPress)} musisz dołączyć identyfikator administratora i hasło do bazy danych SQL WordPress^{(WordPress SQL)} w pliku wp-config.php. 

Te dane są szyfrowane po instalacji, ale chcesz również zablokować hakerom możliwość edytowania tego pliku i uszkodzenia witryny. Aby to zrobić, znajdź i edytuj plik .htaccess w folderze głównym witryny i dodaj następujący kod na dole pliku.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Aby zapobiec zmianom samego .htaccess, dodaj również następujące elementy na dole pliku.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Zapisz plik i zamknij edytor plików.

Możesz również rozważyć kliknięcie prawym przyciskiem myszy każdego pliku i zmianę uprawnień, aby całkowicie usunąć dostęp do zapisu dla wszystkich.^(Write)

Chociaż robienie tego w pliku wp-config.php nie powinno powodować żadnych problemów, robienie tego na .htaccess może powodować problemy. Zwłaszcza jeśli używasz jakichkolwiek wtyczek WordPress , które mogą wymagać edycji pliku .htaccess za Ciebie.

Jeśli otrzymasz jakieś błędy z WordPressa^(WordPress) , zawsze możesz zaktualizować uprawnienia, aby ponownie zezwolić na dostęp do zapisu^(Write) w pliku .htaccess.

Zmień adres URL logowania do WordPressa

Ponieważ domyślną stroną logowania dla każdej witryny WordPress jest twojadomena/wp-admin.php, hakerzy użyją tego adresu URL, aby spróbować włamać się do Twojej witryny.

Zrobią to za pomocą tak zwanych ataków „brute force”, w których będą wysyłać odmiany typowych nazw użytkowników i haseł, których często używa wiele osób. Hakerzy mają nadzieję, że będą mieli szczęście i trafią na odpowiednią kombinację.

Możesz całkowicie powstrzymać te ataki, zmieniając adres URL logowania do WordPressa^{(WordPress login URL)} na coś niestandardowego.

Istnieje wiele wtyczek WordPress , które pomogą Ci to zrobić. Jednym z najczęstszych jest WPS Hide Login .

Ta wtyczka dodaje sekcję do zakładki Ogólne w obszarze ^(General)Ustawienia^(Settings) w WordPress.

Tam możesz wpisać dowolny adres URL^(URL) logowania i wybrać Zapisz zmiany^{(Save Changes)} , aby go aktywować. Następnym razem, gdy będziesz chciał zalogować się do swojej witryny WordPress , użyj tego nowego adresu URL^(URL) .

Jeśli ktoś spróbuje uzyskać dostęp do Twojego starego adresu URL^(URL) wp-admin , zostanie przekierowany na stronę 404 Twojej witryny.

Uwaga^(Note) : jeśli używasz wtyczki pamięci podręcznej, dodaj nowy adres URL^(URL) logowania do listy witryn, których nie^(not) można przechowywać w pamięci podręcznej. Następnie wyczyść pamięć podręczną, zanim ponownie zalogujesz się do witryny WordPress .

Zainstaluj wtyczkę bezpieczeństwa WordPress

Do wyboru jest wiele wtyczek zabezpieczających WordPress^{(WordPress security plugins)} . Spośród nich Wordfence jest najczęściej pobieranym, nie bez powodu.

Bezpłatna wersja Wordfence zawiera potężny silnik skanowania, który wyszukuje zagrożenia typu backdoor, złośliwy kod we wtyczkach^{(malicious code in your plugins)} lub w witrynie, zagrożenia wstrzykiwania MySQL i nie tylko. ^(MySQL)Zawiera również zaporę do blokowania aktywnych zagrożeń, takich jak ataki  DDOS .

Umożliwi również powstrzymanie ataków typu brute force, ograniczając próby logowania i blokując użytkowników, którzy podejmują zbyt wiele błędnych prób logowania.

W darmowej wersji dostępnych jest sporo ustawień. To więcej niż wystarczające, aby chronić małe i średnie witryny przed większością ataków.

Istnieje również przydatna strona pulpitu nawigacyjnego, którą możesz przejrzeć, aby monitorować ostatnie zagrożenia i ataki, które zostały zablokowane.

Użyj generatora haseł WordPress^{(WordPress Password Generator)} i 2FA

Ostatnią rzeczą, jakiej oczekujesz, jest łatwe odgadnięcie hasła przez hakerów. Niestety zbyt wiele osób używa bardzo prostych haseł, które są łatwe do odgadnięcia. Niektóre przykłady obejmują użycie nazwy strony internetowej lub własnej nazwy użytkownika jako części hasła lub nieużywanie żadnych znaków specjalnych.

Po uaktualnieniu do najnowszej wersji WordPressa^(WordPress) masz dostęp do potężnych narzędzi zabezpieczających hasłem, aby zabezpieczyć swoją witrynę WordPress . 

Pierwszym krokiem do poprawy bezpieczeństwa hasła jest przejście do każdego użytkownika witryny, przewinięcie w dół do sekcji Zarządzanie kontem^{(Account Management)} i wybranie przycisku Generuj hasło^{(Generate Password)} .

Spowoduje to wygenerowanie długiego, bardzo bezpiecznego hasła zawierającego litery, cyfry i znaki specjalne. Zapisz to hasło w bezpiecznym miejscu, najlepiej w dokumencie na dysku zewnętrznym, który możesz odłączyć od komputera w trybie online.

Wybierz opcję Wyloguj się wszędzie^{(Log Out Everywhere Else)} , aby upewnić się, że wszystkie aktywne sesje są zamknięte.

Wreszcie, jeśli zainstalowałeś wtyczkę bezpieczeństwa Wordfence , zobaczysz przycisk ^(Wordfence)Aktywuj 2FA^{(Activate 2FA)} . Wybierz tę opcję, aby włączyć uwierzytelnianie dwuskładnikowe dla loginów użytkowników.

Jeśli nie używasz Wordfence , musisz zainstalować jedną z tych popularnych wtyczek 2FA.

• Google Authenticator
• Uwierzytelnianie dwuetapowe^{(Two Factor Authentication)}
• Uwierzytelnianie dwuetapowe Rublon^{(Rublon Two-Factor Authentication)}
• Uwierzytelnianie dwuetapowe Duo^{(Duo Two-Factor Authentication)}

Inne ważne względy bezpieczeństwa^{(Important Security Considerations)}

Jest jeszcze kilka rzeczy, które możesz zrobić, aby w pełni zabezpieczyć swoją witrynę WordPress .

Zarówno wtyczki WordPress^{(WordPress plugins)} , jak i sama wersja WordPressa^(WordPress) powinny być zawsze aktualizowane. Hakerzy często próbują wykorzystać luki w starszych wersjach kodu w Twojej witrynie. Jeśli nie zaktualizujesz obu, narażasz swoją witrynę na ryzyko.

1. Regularnie wybieraj wtyczki^(Plugins) i zainstalowane wtyczki^{(Installed Plugins)} w panelu administracyjnym WordPress . Przejrzyj^(Review) wszystkie wtyczki pod kątem stanu, który mówi, że dostępna jest nowa wersja.

Gdy zobaczysz taki, który jest nieaktualny, wybierz zaktualizuj teraz^{(update now)} . Możesz również rozważyć wybranie opcji Włącz automatyczne aktualizacje wtyczek. 

Jednak niektórzy ludzie nie chcą tego robić, ponieważ aktualizacje wtyczek mogą czasami uszkodzić witrynę lub motyw. Dlatego zawsze dobrze jest przetestować aktualizacje wtyczek w lokalnej witrynie testowej WordPress^{(local WordPress test site)} przed włączeniem ich w aktywnej witrynie.

2. Gdy zalogujesz się do pulpitu WordPress , zobaczysz powiadomienie, że WordPress jest nieaktualny, jeśli używasz starszej wersji.

Ponownie wykonaj kopię zapasową witryny i załaduj ją na lokalną witrynę testową na własnym komputerze, aby sprawdzić, czy aktualizacja WordPress nie powoduje awarii witryny, zanim zaktualizujesz ją na swojej aktywnej stronie internetowej.

3. Skorzystaj z bezpłatnych funkcji bezpieczeństwa swojego hosta internetowego. Większość hostów internetowych oferuje różne bezpłatne usługi bezpieczeństwa dla witryn, które tam hostujesz. Robią to, ponieważ nie tylko chroni Twoją witrynę, ale zapewnia bezpieczeństwo całego serwera. Jest to szczególnie ważne, gdy korzystasz ze współdzielonego konta hostingowego, na którym inni klienci mają witryny na tym samym serwerze.

Często obejmują one bezpłatne instalacje zabezpieczeń SSL^{(free SSL security)} w Twojej witrynie, bezpłatne kopie zapasowe^{(free backups)} , możliwość blokowania złośliwych adresów IP, a nawet bezpłatny skaner witryny, który regularnie skanuje Twoją witrynę w poszukiwaniu złośliwego kodu lub luk w zabezpieczeniach.

Prowadzenie strony internetowej nigdy nie jest tak proste, jak instalacja WordPressa^(WordPress) i publikowanie treści. Ważne jest, aby Twoja witryna WordPress była jak najbardziej bezpieczna. Wszystkie powyższe wskazówki mogą Ci w tym pomóc bez większego wysiłku.

How to Make a WordPress Site Secure

Launching your own WordPress site these days is pretty easy. Unfоrtunately, it wоn’t tаke long for haсkers to start targeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 sposoby na wymyślenie najbezpieczniejszego hasła

• Czy Twoja aplikacja do obsługi wiadomości jest naprawdę bezpieczna?

• 3 sposoby na zrobienie zdjęcia lub filmu na Chromebooku

• Jak wykryć oprogramowanie do monitorowania komputera i poczty e-mail lub oprogramowanie szpiegujące?

• Technologia płaskich wyświetlaczy bez tajemnic: TN, IPS, VA, OLED i więcej

• Jak sprawić, by Spotify było głośniejsze i brzmiało lepiej?

• Jak naprawić błąd „Oczekującej transakcji” Steam?

• Jak pobierać filmy z Twitcha

• Jak pozbyć się Yahoo Search w Chrome

• Najlepsze ustawienia aparatu do portretów

• Jak korzystać z tagów spoilera Discord

• Jak wysłać anonimową wiadomość tekstową, której nie można powiązać?

• Jak otworzyć plik bez rozszerzenia

• Jak włączyć lub wyłączyć Caps Lock na Chromebooku?

• Jak podzielić ekran na Chromebooku

• 7 szybkich poprawek, gdy Minecraft ciągle się zawiesza

• Jak naprawić kod błędu Disney Plus 83

• Discord nie otwiera się? 9 sposobów na naprawę

• Jak korzystać z funkcji WYSZUKAJ.PIONOWO w Arkuszach Google

• Jak znaleźć urodziny na Facebooku