Vairāk nekā 40% no 10 miljoniem populārāko vietņu tiešsaistē izmanto WordPress. Bet vai WordPress ir drošs? Īsā atbilde uz šo jautājumu ir jā – WordPress ir drošs. Tomēr tas nenozīmē, ka WordPress nav ievainojamības.
Par laimi, WordPress kopiena ir dokumentējusi daudzas izplatītas WordPress ievainojamības, tādējādi vietņu administratoriem ir viegli pievienot savai vietnei drošības līmeņus, lai novērstu šīs ievainojamības. Turklāt ir daži vienkārši veidi, kā atjaunināt vai uzturēt savu WordPress vietni, lai tā būtu pēc iespējas drošāka.
Šajā rakstā es apskatīšu 5 vienkāršus veidus, kā izveidot jūsu WordPress vietni vairāk droša.
1. Ir unikāli administratora lietotājvārdi un spēcīgas pieteikšanās paroles
Administratora pieteikšanās lapa ir jūsu WordPress vietnes pirmā aizsardzības līnija. Šeit jebkurš administrators vai lietotājs var piekļūt jūsu vietnes “aizmugures sistēmai” un veikt vietnes izmaiņas, ievadīt vai izvilkt lietotāja/klienta datus vai pievienot vai noņemt vietnes failus un funkcijas — ar nosacījumu, ka viņam ir dota atļauja to darīt. .
Tomēr slikti aktieri var arī izmantot šo pieteikšanās lapu kā vārteju uzbrukumam jūsu vietnei. Piemēram, sadaļā "Brute Force” uzbrukumiem, hakeri atkārtoti mēģina uzminēt jūsu pieteikšanās akreditācijas datus, lai piekļūtu jūsu vietnei.
Ja izmantojat vispārēju administratora lietotājvārdu un paroli (piemēram, lietotājvārdam “admin” un parolei “password1234”), nepaies ilgs laiks, līdz šie hakeri veiksmīgi ielauzīsies jūsu vietnes sensitīvajā informācijā.
Tāpēc pirmā vienkārša lieta, ko varat darīt, lai vietni padarītu drošāku, ir vietnes pieteikšanās akreditācijas datiem izmantojiet unikālus lietotājvārdus un spēcīgas paroles. Jums būs arī jāpārliecinās, ka ir jūsu lietotājvārds un parole unikāls jūsu WordPress vietnei un netiek izmantota citām pieteikšanās vietām (piemēram, jūsu tiešsaistes bankai vai sociālo mediju pieteikšanās datiem). Tas pievienos papildu drošības līmeni.
No otras puses, ja atkārtoti izmantosit lietotājvārdus un paroles vairākās vietnēs, visas vietnes, kas izmanto šos akreditācijas datus, tiks apdraudētas brīdī, kad kādu no tām uzlauzīs hakeris.
Ja uztraucaties par pieteikšanās informācijas pazaudēšanu, izveidojiet informācijas papīra kopiju (noteikti iekļaujiet pareizu lielo burtu lietojumu!). Glabājiet papīra kopiju drošā vietā, kur var piekļūt tikai jūs un uzticamas personas (piemēram, slēdzamā kartotēka).
Turklāt savai WordPress pieteikšanās lapai varat iespējot divu faktoru autentifikāciju vai vienreizējo paroli (OTP). Tas nodrošinās vēl vienu drošības līmeni augstākam aizsardzības līmenim. Piemēram, WordPress drošības spraudnis SG Security (kas nāk līdzi SiteGround hostinga plāni) ir aprīkots ar “divu faktoru autentifikācijas” funkciju, kas izmanto Google autentifikatora spraudni. Tas nozīmē, ka pat tad, ja hakeris uzminēja jūsu administratora lietotājvārdu un paroli, viņam tik un tā būs jāizdomā nejauši ģenerēts autentifikācijas kods, lai piekļūtu jūsu vietnes aizmugursistēmai.
2. Izmantojiet WordPress jaunāko versiju
Vēl viens vienkāršs veids, kā nodrošināt vietnes drošību, ir vienmēr izmantot jaunāko WordPress versiju. WordPress darbojas “izlaiduma ciklā”, kas ik pēc 4 mēnešiem izdod jaunas galvenā koda versijas. Lai gan WordPress jaunās versijas var būt nelielas vai lielas, tās gandrīz vienmēr satur drošības atjauninājumus.
Šie atjauninājumi ir balstīti uz jaunāko informāciju no tādiem avotiem kā Open Web Application Security Project (OWASP Foundation), “tiešsaistes kopiena, kas veltīta tīmekļa lietojumprogrammu drošībai”.
Par laimi, WordPress un katras tā jaunās versijas vienmēr var bez maksas instalēt jūsu vietnē. Un vairumā gadījumu WordPress automātiski atjauninās jūsu vietni uz jaunāko versiju (ja vien jūs to īpaši nenorādīsit vai neizmantojat versiju, kas vecāka par WordPress 3.7).
Turklāt WordPress galvenā komanda pieliek daudz pūļu, lai jaunās WordPress versijas būtu saderīgas. Tas vienkārši nozīmē, ka jaunās WordPress versijas ir paredzētas darbam ar jūsu esošajiem motīviem, spraudņiem un pielāgoto kodu.
Varat pārbaudīt, vai jūsu vietne ir atjaunināta uz jaunāko versiju, pārejot uz Dashboard> Updates (dzeltenā bultiņa iepriekš redzamajā attēlā). Šeit jūs redzēsiet, kādu WordPress versiju izmantojat un vai tā ir jaunākā pieejamā versija (sarkanā bultiņa iepriekš redzamajā attēlā).
Viena svarīga lieta, kas jāņem vērā, ir tāda, ka jūs parasti nevēlaties "pārlēkt" uz jaunāko WordPress versiju, ja izmantojat daudz vecāku versiju.
Piemēram, ja savā tiešsaistes vietnē izmantojat WordPress 4.9 (izlaists 2017. gadā), es neiesaku mēģināt tieši atjaunināt uz WordPress 6.2 (jaunākā versija šī raksta laikā). Tas sabojās lietas.
Tā vietā varat lejupielādēt un instalēt pagātnes izlaidumi savā vietnē un lēnām atjauniniet savu vietni. Turklāt pirms atjauninājumu veikšanas vēlēsities dublēt savas vietnes failus. Iesaku pārbaudīt Šis raksts par dažādām darbībām, kas jāveic pirms WordPress vietnes dublēšanas, tās laikā un pēc tās. Tas noteikti var būt process, taču tas ietaupīs no galvassāpēm, kas saistītas ar vietnes avāriju un mēģinājumu pēc tam visu labot.
Ņemiet vērā: jo vecāka ir jūsu pašreizējā WordPress versija, jo nogurdinošāks un nedrošāks būs šis process. Tas ir vēl jo vairāk iemesls, lai jūsu WordPress versija vienmēr būtu atjaunināta!
3. Atjauniniet savu motīvu uz jaunāko versiju, kā arī atinstalējiet neizmantotos motīvus
WordPress “nostiprina” savu noklusējuma motīvu drošību, pastāvīgi attīstot, atkārtojot un izlaižot jaunas motīvu versijas. Tas nozīmē, ka jums vienmēr ir jāizmanto jaunākais noklusējuma motīvs no WordPress, kad vien iespējams, jo tajā būs iebūvēti visi jaunākie drošības atjauninājumi.
Par laimi, ir viegli noteikt, kurš noklusējuma motīvs ir jaunākais, jo katrs jaunais motīvs tiek nosaukts pēc pašreizējā (vai gaidāmā) gada, kad motīvs tiks izlaists. Piemēram, tēma, ko viņi izlaida 2023. gadā, saucas “Twenty Twenty-Three”.
Papildus drošības atjauninājumiem jaunajos noklusējuma motīvos ir iekļauti arī daudzi jauni līdzekļi, kas ir paredzēti, lai padarītu jūsu vietņu veidošanu vienkāršāku un patīkamāku. Turklāt tiem bieži tiek pievienoti veiktspējas uzlabojumi, lai uzlabotu vietnes veiktspēju un tādējādi palīdzētu iegūt lielāku trafiku.
Vai neesat pārliecināts, kā atjaunināt motīvus pakalpojumā WordPress? Es jums parādīšu, kā manā WordPress iesācējiem 2023: bezkoda WordPress meistarklase vietnē Udemy.
Neatkarīgi no tā, vai izlemjat savai WordPress vietnei izmantot jaunāko noklusējuma motīvu vai pieturēties pie motīva, kas jums patīk, vienmēr ir jāizdzēš visi neaktīvie vai citādi neizmantotie motīvi savas vietnes aizmugurē. Tas ir tāpēc, ka neizmantotajiem motīviem (jo īpaši vecākiem motīviem vai trešo pušu motīviem) var būt drošības ievainojamības, kas hakeriem atvieglo piekļuvi jūsu vietnei un uzbrukumiem.
4. Atjauniniet spraudņus uz to jaunāko versiju un pārbaudiet saderību
Viena no lietām, kas padara WordPress lielisku, ir trešo pušu spraudņu integrācija. Tomēr ne visi spraudņi ir izveidoti vienādi, un daži no tiem faktiski var radīt jūsu vietnes drošības ievainojamības.
Par laimi, ir dažas vienkāršas lietas, ko varat darīt, lai samazinātu spraudņu radīto drošības apdraudējumu risku.
Iesācējiem vienmēr ir ieteicams, lai jūs lejupielādējiet un instalējiet WordPress spraudņus no WordPress repozitorija. Tas ir tāpēc, ka šeit uzskaitītie spraudņi ir jāpārskata un jāapstiprina WordPress drošības komandai, pirms tie ir pieejami lejupielādei. Šos spraudņus varat atrast, izmantojot šī tiešā saite uz spraudņu repozitorijuvai tieši jūsu vietnes WP administrēšanas apgabalā, dodoties uz Spraudņi> Pievienot jaunu (dzeltenā bultiņa zemāk esošajā attēlā).
Izlemjot, kuru spraudni lejupielādēt jūsu WordPress vietnei, es ļoti iesaku izmantot spraudņus, kas ir norādīti kā “saderīgi ar jūsu WordPress versiju”. Par laimi, WordPress norāda, vai jūsu spraudnis un WordPress versija ir saderīgi tieši spraudņu direktorijā (sarkanā bultiņa attēlā iepriekš). Spraudņiem, kas nav pārbaudīti pret jaunāko WordPress versiju, tiks parādīts ziņojums: “Nepārbaudīts ar jūsu WordPress versiju” (zila bultiņa attēlā iepriekš).
Lai gan “nepārbaudīti” spraudņi var lieliski darboties ar jūsu WordPress versiju un motīvu, šiem spraudņiem var būt pievienotas neatklātas drošības ievainojamības. Tāpēc savā vietnē izmantojiet šādus spraudņus piesardzīgi.
Ņemiet vērā, ka WordPress norāda savā drošības baltajā grāmatā: "Spraudņu un motīvu iekļaušana repozitorijā negarantē, ka tiem nav drošības ievainojamību." Tomēr spraudņi ar zināmām “nopietnām ievainojamībām” tiek noņemti no repozitorija, un WordPress drošības komanda tos var pat labot, pirms tie tiek atkārtoti ievietoti repozitorijā.
Visbeidzot, tiklīdz jūsu vietnē ir instalēti spraudņi, noteikti atjauniniet tos visus. Spraudņu izstrādātāji savās jaunajās versijās parasti ievieš drošības atjauninājumus un labojumus. Tādējādi, izmantojot spraudņa jaunāko versiju, jūs nodrošināsiet, ka jūsu vietnē ir pieejami visi jaunākie drošības atjauninājumi šim spraudnim. Tāpat kā ar neizmantotiem vai neaktīviem motīviem, es arī iesaku deaktivizēt un atinstalēt visus neizmantotos spraudņus savā vietnē, lai samazinātu iespēju, ka šādi spraudņi vēlāk radīs drošības ievainojamību.
Ja neesat pārliecināts, kā atjaunināt spraudņus pakalpojumā WordPress, es ļoti iesaku pārbaudīt šo procesu manā lapā WordPress iesācējiem 2023: bezkoda WordPress meistarklase vietnē Udemy.
5. Pievienojiet savam domēnam SSL sertifikātu
Fināls viegli veids, kā 2023. gadā savai WordPress vietnei pievienot lielāku drošību, ir pievienot savam domēnam SSL sertifikātu.
SSL (Secure Socket Layer) sertifikāti būtībā apstiprina, ka saturu, ko redz jūsu vietnes apmeklētāji, nāk no faktiskā satura veidotāja, nevis no viltus vai krāpnieciskas vietnes. Citiem vārdiem sakot, tas pārbauda, vai viss ir likumīgs tieši lietotāja pārlūkprogrammā.
Vietnēs, kurām ir pareizi iestatīts SSL sertifikāts, pārlūkprogrammas meklēšanas joslā blakus vietnes URL būs slēdzenes ikona. Piemēram, ja skatāties šīs vietnes augšdaļā Google pārlūkprogrammā Chrome, blakus galvenajam URL redzēsit slēdzenes ikonu (sarkanā bultiņa attēlā iepriekš). Noklikšķinot uz slēdzenes ikonas, tiks parādīta rindiņa “Savienojums ir drošs”. Tas ir Google, kas pārbauda, vai savienojums starp šo vietni un apmeklētāja tīmekļa pārlūkprogrammu ir drošs un privāts.
SSL sertifikāti ir īpaši svarīgi jebkurai vietnei, kas apkopo JEBKURA lietotāja datu veids. Tas ietver vienkāršu informāciju, kas iegūta no saziņas veidlapas (ti, vārds, e-pasts, tālruņa numurs utt.), kā arī sarežģītāku vai privātu informāciju, kas, piemēram, tiktu iegūta no e-komercijas vietnes (piemēram, kredītkaršu numuri, adrese, utt.). Padarot drošu savienojumu starp vietni un vietnes apmeklētājiem, SSL sertifikāti ļoti apgrūtina hakeru iespējas nozagt informāciju, ar kuru apmainās abas puses.
Daži vietņu mitināšanas uzņēmumi iekasē maksu par SSL sertifikātu, savukārt citi (piemēram, Siteground) piedāvās bezmaksas SSL sertifikāts. Lielākajai daļai mitināšanas pakalpojumu sniedzēju vajadzētu piedāvāt SSL sertifikātu, kā arī sniegt norādījumus, kā to instalēt savā WordPress vietnē.
Papildu bonuss ir tas, ka meklētājprogrammas, piemēram, Google, mēdz novērtēt vietnes ar SSL sertifikātiem augstāk nekā tās, kurām tāda nav. Citiem vārdiem sakot, SSL sertifikāti ne tikai padara jūsu vietnes drošākas, bet arī var palīdzēt jūsu vietnei iegūt lielāku trafiku.
Tas ir viss šim rakstam! Ja jums patika, varat uzzināt vairāk par to, kā izveidot WordPress vietni no sākuma līdz beigām WordPress iesācējiem 2023: bezkoda WordPress meistarklase vietnē Udemy.