Każdy właściciel strony WordPress, którego znamy, miał ten moment paniki, kiedy zdaje sobie sprawę, że ich strona internetowa może być narażona na ataki hakerów. My nauczyliśmy się tej lekcji w trudny sposób na początku naszej drogi, kiedy zobaczyliśmy, co naruszenia bezpieczeństwa mogą zrobić firmom.
Dlatego przez lata skutecznie chroniliśmy WPBeginner przed powtarzającymi się atakami, korzystając z najlepszych wtyczek bezpieczeństwa i stosując najlepsze praktyki bezpieczeństwa WordPress.
Bezpieczeństwo WordPress nie musi być skomplikowane ani drogie. Większość właścicieli witryn myśli, że potrzebują zatrudnić ekspertów lub wydać tysiące na narzędzia bezpieczeństwa, ale to po prostu nieprawda. Dzięki odpowiedniemu podejściu i sprawdzonym strategiom możesz chronić swoją witrynę tak samo, jak my chronimy nasze.
Spędziliśmy lata na testowaniu wtyczek zabezpieczających, wdrażaniu najlepszych praktyk i pomaganiu tysiącom użytkowników WordPress w zabezpieczaniu ich witryn. W tym przewodniku przeprowadzimy Cię przez każdy krok, który stosujemy, aby utrzymać naszą witrynę bezpieczną, dzięki czemu możesz spać spokojnie, wiedząc, że Twoja witryna WordPress jest chroniona.
Chociaż podstawowe oprogramowanie WordPress jest bardzo bezpieczne i jest regularnie audytowane przez setki programistów, nadal wiele trzeba zrobić, aby utrzymać bezpieczeństwo Twojej witryny.
W WPBeginner wierzymy, że bezpieczeństwo to nie tylko eliminacja ryzyka. To także jego redukcja. Jako właściciel strony internetowej możesz zrobić wiele, aby poprawić bezpieczeństwo swojego WordPressa, nawet jeśli nie jesteś biegły technicznie.
Dlatego przygotowaliśmy listę kontrolną bezpieczeństwa WordPress zawierającą praktyczne kroki, które możesz podjąć, aby chronić swoją stronę internetową przed lukami w zabezpieczeniach.
Aby ułatwić Ci nawigację, przygotowaliśmy spis treści, który pomoże Ci łatwo poruszać się po naszym obszernym przewodniku po bezpieczeństwie WordPress.
Spis treści
Podstawy bezpieczeństwa WordPress
- Dlaczego bezpieczeństwo WordPress jest ważne
- Aktualizuj WordPress
- Używaj silnych haseł i uprawnień użytkowników
- Zrozum rolę hostingu WordPress
Bezpieczeństwo WordPress w prostych krokach (bez kodowania)
- Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress
- Zainstaluj renomowaną wtyczkę bezpieczeństwa WordPress
- Włącz zaporę aplikacji internetowej (WAF)
- Przenieś swoją stronę WordPress na SSL/HTTPS
Bezpieczeństwo WordPress dla użytkowników DIY
- Zmień domyślną nazwę użytkownika administratora
- Wyłącz edycję plików
- Wyłącz wykonywanie plików PHP w określonych katalogach WordPress
- Ogranicz próby logowania
- Dodaj uwierzytelnianie dwuskładnikowe (2FA)
- Zmień prefiks bazy danych WordPress
- Chroń hasłem panel administracyjny i stronę logowania WordPress
- Wyłącz indeksowanie i przeglądanie katalogów
- Wyłącz XML-RPC w WordPress
- Automatycznie wyloguj nieaktywnych użytkowników w WordPress
- Dodaj pytania zabezpieczające do logowania WordPress
- Skanowanie WordPressa pod kątem złośliwego oprogramowania i luk
- Napraw zhakowaną witrynę WordPress
Gotowi? Zacznijmy.
Dlaczego bezpieczeństwo witryny jest ważne
Zhakowana strona WordPress może spowodować poważne szkody dla przychodów i reputacji Twojej firmy. Hakerzy mogą kraść informacje o użytkownikach i hasła, instalować złośliwe oprogramowanie, a nawet rozpowszechniać malware wśród Twoich użytkowników.
Co gorsza, możesz znaleźć się w sytuacji, w której będziesz płacić okup hakerom, tylko po to, aby odzyskać dostęp do swojej strony internetowej.
Codziennie Google ostrzega 12-14 milionów użytkowników, że strona internetowa, którą próbują odwiedzić, może zawierać złośliwe oprogramowanie lub kraść informacje.
Ponadto, Google umieszcza na czarnej liście ponad 10 000 witryn dziennie z powodu złośliwego oprogramowania lub phishingu.
Tak jak właściciele firm posiadający fizyczną lokalizację są odpowiedzialni za zabezpieczenie swojej własności, tak właściciele firm internetowych muszą zwracać szczególną uwagę na bezpieczeństwo swojego WordPressa.
Aktualizuj WordPress
WordPress to oprogramowanie open-source, które jest regularnie utrzymywane i aktualizowane. Domyślnie WordPress automatycznie instaluje drobne aktualizacje.
W przypadku głównych wydań musisz ręcznie zainicjować aktualizację.
WordPress oferuje również tysiące wtyczek i motywów, które można zainstalować na swojej stronie internetowej. Te wtyczki i motywy są utrzymywane przez zewnętrznych deweloperów, którzy regularnie wydają również aktualizacje.
Te aktualizacje WordPress są kluczowe dla bezpieczeństwa i stabilności Twojej witryny WordPress. Musisz upewnić się, że Twój rdzeń WordPress, wtyczki i motyw są aktualne.
Używaj silnych haseł i uprawnień użytkowników
Najczęstsze próby włamań na WordPress wykorzystują skradzione hasła. Możesz jednak utrudnić to, używając silniejszych, unikalnych haseł do swojej strony internetowej.
Nie mówimy tylko o obszarze administracyjnym WordPress. Pamiętaj, aby tworzyć silne hasła do swoich kont FTP, baz danych, kont hostingowych WordPress i niestandardowych adresów e-mail, które korzystają z nazwy domeny Twojej witryny.
Wielu początkujących nie lubi używać silnych haseł, ponieważ trudno je zapamiętać. Dobrą wiadomością jest to, że nie musisz już pamiętać haseł, ponieważ możesz po prostu użyć menedżera haseł.
Zobacz nasz przewodnik na temat zarządzania hasłami do WordPressa, aby uzyskać więcej informacji.
Innym sposobem na zmniejszenie ryzyka jest nieudzielanie nikomu dostępu do konta administratora WordPress, chyba że absolutnie musisz.
Jeśli masz duży zespół lub autorów gościnnych, upewnij się, że rozumiesz role i uprawnienia użytkowników w WordPressie, zanim dodasz nowe konta użytkowników i autorów do swojej witryny WordPress.
Zrozum rolę hostingu WordPress
Twoja usługa hostingu WordPress odgrywa najważniejszą rolę w bezpieczeństwie Twojej witryny WordPress. Dobry dostawca hostingu współdzielonego, taki jak Hostinger, Bluehost lub SiteGround, podejmuje dodatkowe środki w celu ochrony swoich serwerów przed powszechnymi zagrożeniami.
Oto tylko kilka sposobów, w jakie dobre firmy hostingowe działają w tle, aby chronić Twoje strony internetowe i dane:
- Ciągle monitorują swoją sieć pod kątem podejrzanej aktywności.
- Wszystkie dobre firmy hostingowe posiadają narzędzia zapobiegające masowym atakom DDoS.
- Utrzymują swoje oprogramowanie serwerowe, wersje PHP i sprzęt aktualne, aby zapobiec wykorzystywaniu przez hakerów znanych luk bezpieczeństwa w starych wersjach.
- Mają gotowe do wdrożenia plany odzyskiwania po awarii i wypadkach, które pozwalają im chronić Twoje dane w przypadku poważnego wypadku.
Na współdzielonym planie hostingowym dzielisz zasoby serwera z wieloma innymi klientami. Istnieje ryzyko zanieczyszczenia między witrynami, gdzie haker może wykorzystać sąsiednią witrynę do zaatakowania Twojej witryny.
W przeciwieństwie do tego, korzystanie z usługi zarządzanego hostingu WordPress zapewnia bezpieczniejszą platformę dla Twojej strony. Firmy oferujące zarządzany hosting WordPress zapewniają automatyczne kopie zapasowe, automatyczne aktualizacje WordPressa i bardziej zaawansowane konfiguracje bezpieczeństwa w celu ochrony Twojej strony.
Polecamy SiteGround jako naszego preferowanego dostawcę hostingu WordPress. Mają responsywne wsparcie, szybkie serwery i doskonałą niezawodność.
Upewnij się, że uzyskasz najlepszą ofertę, korzystając z naszego specjalnego kuponu SiteGround.
Bezpieczeństwo WordPress w kilku prostych krokach (bez kodowania)
Wiemy, że poprawa bezpieczeństwa WordPressa może być przerażającą myślą dla początkujących, zwłaszcza jeśli nie jesteś techniczny. Zgadnij co – nie jesteś sam.
Pomogliśmy tysiącom użytkowników WordPressa w zabezpieczeniu ich systemów WordPress.
Pokażemy Ci, jak możesz poprawić bezpieczeństwo WordPress za pomocą zaledwie kilku kliknięć (bez kodowania).
Jeśli potrafisz wskazać i kliknąć, potrafisz to zrobić!
1. Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPressa
Kopie zapasowe są Twoją pierwszą obroną przed jakimkolwiek atakiem na WordPress. Pamiętaj, nic nie jest w 100% bezpieczne. Jeśli strony rządowe mogą zostać zhakowane, to Twoja również.
Kopie zapasowe pozwalają szybko przywrócić Twoją stronę WordPress w przypadku wystąpienia czegoś złego.
Istnieje wiele darmowych i płatnych wtyczek do tworzenia kopii zapasowych WordPress, których możesz użyć. Najważniejszą rzeczą, którą musisz wiedzieć w kwestii kopii zapasowych, jest to, że musisz regularnie zapisywać pełne kopie zapasowe witryny w zdalnej lokalizacji (nie na swoim koncie hostingowym).
Zalecamy przechowywanie go w usłudze chmurowej, takiej jak Amazon, Dropbox, lub w prywatnych chmurach, takich jak Stash.
W zależności od tego, jak często aktualizujesz swoją stronę, idealnym ustawieniem może być tworzenie kopii zapasowych raz dziennie lub w czasie rzeczywistym.
Na szczęście można to łatwo zrobić za pomocą wtyczek takich jak Duplicator, UpdraftPlus lub BlogVault. Obie są niezawodne i co najważniejsze łatwe w użyciu (nie wymagają kodowania).
Więcej szczegółów znajdziesz w naszym przewodniku jak wykonać kopię zapasową Twojej strony WordPress.
Zainstaluj renomowaną wtyczkę bezpieczeństwa WordPress
Po wykonaniu kopii zapasowych następną rzeczą, którą musimy zrobić, jest skonfigurowanie systemu audytu i monitorowania, który śledzi wszystko, co dzieje się na Twojej stronie internetowej.
Obejmuje to monitorowanie integralności plików, nieudane próby logowania, skanowanie złośliwego oprogramowania i inne.
Na szczęście możesz łatwo sobie z tym poradzić, instalując jeden z najlepszych wtyczek zabezpieczających WordPress, takich jak Sucuri.
Musisz zainstalować i aktywować bezpłatną wtyczkę Sucuri Security. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku na temat jak zainstalować wtyczkę WordPress.
Teraz możesz przejść do Sucuri Security » Dashboard, aby sprawdzić, czy wtyczka znalazła jakieś natychmiastowe problemy z kodem WordPress.
Następną rzeczą, którą musisz zrobić, jest przejście do strony Sucuri Security » Ustawienia i kliknięcie zakładki „Utwardzanie”.
Domyślne ustawienia działają dobrze dla większości stron internetowych, więc możesz je aktywować, klikając przycisk „Zastosuj utwardzenie” dla każdej opcji.
Pomaga to zabezpieczyć kluczowe obszary, które hakerzy często wykorzystują w swoich atakach.
Wskazówka: Dalej w tym artykule omówimy dalsze sposoby utwardzania Twojej strony internetowej, takie jak zmiana prefiksu bazy danych i nazwy użytkownika administratora. Są to jednak bardziej techniczne kwestie i mogą wymagać znajomości kodowania.
Po części utwardzającej, inne domyślne ustawienia wtyczki są wystarczające dla większości stron internetowych i nie wymagają żadnych zmian.
Jedyną rzeczą, którą zalecamy dostosować, są alerty e-mail, które można znaleźć w zakładce „Alerty” na stronie ustawień.
Domyślnie będziesz otrzymywać wiele alertów e-mail, które mogą zaśmiecać Twoją skrzynkę odbiorczą.
Zalecamy włączanie alertów tylko dla kluczowych działań, o których chcesz być powiadamiany, takich jak zmiany wtyczek i rejestracje nowych użytkowników.
Ta wtyczka zabezpieczająca WordPress jest bardzo potężna, więc przejrzyj wszystkie zakładki i ustawienia, aby zobaczyć wszystko, co robi, takie jak skanowanie złośliwego oprogramowania, logi audytu, śledzenie nieudanych prób logowania i wiele więcej.
Aby uzyskać więcej informacji, możesz zapoznać się z naszą szczegółową recenzją Sucuri.
Włącz zaporę aplikacji internetowej (WAF)
Użycie zapory sieciowej aplikacji internetowej (WAF) to najłatwiejszy sposób na ochronę Twojej witryny i pewność co do bezpieczeństwa WordPress.
Zapora sieciowa blokuje cały złośliwy ruch, zanim jeszcze dotrze do Twojej witryny.
- Zapora sieciowa na poziomie DNS kieruje ruch Twojej witryny przez swoje serwery proxy w chmurze. Pozwala to wysyłać tylko prawdziwy ruch do Twojego serwera internetowego.
- Zapora sieciowa na poziomie aplikacji analizuje ruch po dotarciu do serwera, ale przed załadowaniem większości skryptów WordPress. Ta metoda nie jest tak wydajna jak zapora sieciowa na poziomie DNS w zmniejszaniu obciążenia serwera.
Aby dowiedzieć się więcej, zobacz naszą listę najlepszych wtyczek zapory sieciowej WordPress.
Przez wiele lat używaliśmy Sucuri w WPBeginner i nadal polecamy ją jako jedną z najlepszych zapór aplikacji internetowych dla WordPress. Niedawno przeszliśmy z Sucuri na Cloudflare, ponieważ potrzebowaliśmy większej sieci CDN z funkcjami bardziej skoncentrowanymi na klientach korporacyjnych.
Możesz przeczytać o tym, jak Sucuri pomogło nam zablokować 450 000 ataków na WordPress w miesiąc.
Najlepsze w zaporze sieciowej Sucuri jest to, że zawiera ona również gwarancję czyszczenia złośliwego oprogramowania i usuwania z czarnych list. Oznacza to, że jeśli zostaniesz zhakowany pod ich nadzorem, gwarantują naprawę Twojej witryny, niezależnie od liczby stron.
To dość mocna gwarancja, ponieważ naprawa zhakowanych stron internetowych jest kosztowna. Eksperci ds. bezpieczeństwa zazwyczaj pobierają ponad 250 USD za godzinę, podczas gdy cały pakiet bezpieczeństwa Sucuri można uzyskać za 199 USD na cały rok.
Biorąc to pod uwagę, Sucuri nie jest jedynym dostawcą zapory sieciowej na poziomie DNS. Innym popularnym konkurentem jest Cloudflare. Zobacz nasze porównanie Sucuri vs. Cloudflare (Plusy i minusy).
Przenieś swoją stronę WordPress na SSL/HTTPS
SSL (Secure Sockets Layer) to protokół, który szyfruje transfer danych między Twoją witryną a przeglądarką użytkownika. Szyfrowanie to utrudnia podsłuchiwanie i kradzież informacji.
Po włączeniu SSL, adres Twojej witryny będzie używał HTTPS zamiast HTTP. Zobaczysz również ikonę kłódki lub podobny symbol obok adresu Twojej witryny w przeglądarce.
Certyfikaty SSL są zazwyczaj wydawane przez urzędy certyfikacji, a ich ceny zaczynają się od 80 USD do setek dolarów rocznie. Ze względu na dodatkowe koszty, większość właścicieli stron internetowych w przeszłości decydowała się na dalsze korzystanie z niezabezpieczonego protokołu.
Aby temu zaradzić, organizacja non-profit o nazwie Let’s Encrypt postanowiła oferować darmowe certyfikaty SSL właścicielom stron internetowych. Ich projekt jest wspierany przez Google Chrome, Facebook, Mozilla i wiele innych firm.
Rozpoczęcie korzystania z SSL dla wszystkich Twoich stron WordPress jest łatwiejsze niż kiedykolwiek. Wiele firm hostingowych oferuje teraz darmowy certyfikat SSL dla Twojej strony WordPress.
Jeśli Twoja firma hostingowa nie oferuje certyfikatu SSL, możesz go kupić od Domain.com. Mają najlepsze i najbardziej niezawodne oferty SSL na rynku. Certyfikat jest objęty gwarancją bezpieczeństwa w wysokości 10 000 USD i pieczęcią bezpieczeństwa TrustLogo.
Bezpieczeństwo WordPress dla użytkowników DIY
Jeśli zrobisz wszystko, co do tej pory wspomnieliśmy, będziesz w całkiem dobrej sytuacji.
Ale jak zawsze, jest więcej rzeczy, które możesz zrobić, aby wzmocnić bezpieczeństwo swojej witryny WordPress.
Pamiętaj, że niektóre z tych kroków mogą wymagać wiedzy programistycznej.
Zmień domyślną nazwę użytkownika administratora
W dawnych czasach domyślna nazwa użytkownika administratora WordPressa brzmiała „admin”. Ponieważ nazwy użytkowników stanowią połowę danych uwierzytelniających logowania, ułatwiało to hakerom przeprowadzanie ataków siłowych.
Na szczęście WordPress od tego czasu się zmienił i teraz wymaga od Ciebie wybrania niestandardowej nazwy użytkownika podczas instalacji WordPress.
Jednak niektóre instalatory WordPress typu „1 kliknięcie” nadal ustawiają domyślną nazwę użytkownika administratora na „admin”. Jeśli zauważysz, że tak jest, prawdopodobnie dobrym pomysłem będzie zmiana hostingu.
Ponieważ WordPress domyślnie nie pozwala na zmianę nazw użytkowników, istnieją trzy metody, których możesz użyć do zmiany nazwy użytkownika.
- Utwórz nową nazwę użytkownika administratora i usuń starą.
- Użyj wtyczki Username Changer
- Zmień nazwę użytkownika z phpMyAdmin
Omówiliśmy wszystkie trzy z nich w naszym szczegółowym przewodniku na temat prawidłowej zmiany nazwy użytkownika WordPress.
Uwaga: Dla jasności, mówimy o zmianie nazwy użytkownika „admin”, a nie o roli użytkownika administratora, która jest również czasami nazywana „admin”.
Wyłącz edycję plików
WordPress posiada wbudowany edytor kodu, który pozwala na edycję plików motywu i wtyczek bezpośrednio z panelu administracyjnego WordPress.
W niepowołanych rękach ta funkcja może stanowić ryzyko bezpieczeństwa, dlatego zalecamy jej wyłączenie.
Możesz to łatwo zrobić, dodając następujący kod do swojego pliku wp-config.php lub za pomocą pluginu do fragmentów kodu, takiego jak WPCode (zalecane):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Pokażemy Ci, jak to zrobić krok po kroku w naszym przewodniku na temat wyłączania edytorów motywów i wtyczek z panelu administracyjnego WordPress.
Alternatywnie, możesz to zrobić jednym kliknięciem, korzystając z funkcji Hardening w darmowej wtyczce Sucuri wspomnianej powyżej.
Wyłącz wykonywanie plików PHP w określonych katalogach WordPress
Innym sposobem na wzmocnienie bezpieczeństwa WordPress jest wyłączenie wykonywania plików PHP w katalogach, gdzie nie jest to potrzebne, takich jak /wp-content/uploads/.
Możesz to zrobić, otwierając edytor tekstu, taki jak Notatnik, i wklejając ten kod:
<Files *.php>
deny from all
</Files>
Następnie musisz zapisać ten plik jako .htaccess i przesłać go do folderu /wp-content/uploads/ na swojej stronie internetowej za pomocą klienta FTP.
Aby uzyskać bardziej szczegółowe wyjaśnienie, zapoznaj się z naszym przewodnikiem na temat jak wyłączyć wykonywanie PHP w niektórych katalogach WordPress.
Alternatywnie, możesz to zrobić jednym kliknięciem, korzystając z funkcji Hardening w darmowym pluginie Sucuri, o którym wspomnieliśmy powyżej.
Ogranicz próby logowania
Domyślnie WordPress pozwala użytkownikom próbować logować się wielokrotnie. To sprawia, że Twoja strona WordPress jest podatna na ataki typu brute-force. To właśnie wtedy hakerzy próbują złamać hasła, próbując logować się różnymi kombinacjami.
Można to łatwo naprawić, ograniczając liczbę nieudanych prób logowania, które użytkownik może wykonać. Jeśli używasz wspomnianej wcześniej zapory sieciowej aplikacji internetowej, problem ten jest automatycznie rozwiązany.
Jednak, jeśli nie masz skonfigurowanej zapory sieciowej, możesz przejść dalej, korzystając z poniższych kroków.
Najpierw musisz zainstalować i aktywować darmową wtyczkę Limit Login Attempts Reloaded. Więcej szczegółów znajdziesz w naszym przewodniku krok po kroku jak zainstalować wtyczkę WordPress.
Po aktywacji wtyczka zacznie ograniczać liczbę prób logowania, które mogą podjąć użytkownicy.
Domyślne ustawienia będą działać dla większości stron internetowych. Możesz je jednak dostosować, odwiedzając stronę Ustawienia » Limit prób logowania i klikając zakładkę „Ustawienia” na górze. Na przykład, aby być zgodnym z przepisami RODO, możesz zaznaczyć pole wyboru „Zgodność z RODO”.
Szczegółowe instrukcje znajdziesz w naszym przewodniku na temat jak i dlaczego powinieneś ograniczyć liczbę prób logowania w WordPress.
Dodaj uwierzytelnianie dwuskładnikowe (2FA)
Metoda uwierzytelniania dwuskładnikowego wymaga od użytkowników 2 różnych kroków do zalogowania się:
- Pierwszym krokiem jest nazwa użytkownika i hasło.
- Drugi krok wymaga użycia kodu z urządzenia lub aplikacji, którą posiadasz, a do której hakerzy nie mają dostępu, na przykład Twojego smartfona.
Większość popularnych stron internetowych, takich jak Google, Facebook i Twitter, pozwala na włączenie tej funkcji dla Twoich kont. Możesz również dodać tę samą funkcjonalność do swojej witryny WordPress.
Najpierw musisz zainstalować i aktywować wtyczkę WP 2FA – uwierzytelnianie dwuskładnikowe. Więcej szczegółów znajdziesz w naszym przewodniku krok po kroku na temat jak zainstalować wtyczkę WordPress.
Przyjazny kreator pomoże Ci skonfigurować wtyczkę, a następnie otrzymasz kod QR.
Będziesz musiał zeskanować kod QR za pomocą aplikacji uwierzytelniającej na swoim telefonie, takiej jak Google Authenticator, Authy lub LastPass Authenticator.
Zalecamy używanie LastPass Authenticator lub Authy, ponieważ pozwalają one na tworzenie kopii zapasowych Twoich kont w chmurze. Jest to bardzo przydatne w przypadku zgubienia telefonu, jego zresetowania lub zakupu nowego telefonu. Wszystkie Twoje loginy do kont zostaną łatwo przywrócone.
Większość tych aplikacji działa w podobny sposób, a jeśli używasz Authy, po prostu kliknij przycisk „+” lub „Dodaj konto” w aplikacji uwierzytelniającej.
Pozwoli to zeskanować kod QR na komputerze za pomocą aparatu telefonu. Może być konieczne wcześniejsze udzielenie aplikacji uprawnień do dostępu do aparatu.
Po nadaniu nazwy kontu, możesz je zapisać.
Następnym razem, gdy zalogujesz się na swoją stronę internetową, po podaniu hasła zostaniesz poproszony o podanie kodu uwierzytelniania dwuskładnikowego.
Po prostu otwórz aplikację uwierzytelniającą na swoim telefonie, a zobaczysz kod jednorazowy.
Następnie możesz wprowadzić kod na swojej stronie internetowej, aby zakończyć logowanie.
Zmień prefiks bazy danych WordPress
Domyślnie WordPress używa prefiksu wp_ dla wszystkich tabel w Twojej bazie danych WordPress.
Jeśli Twoja strona WordPress używa domyślnego prefiksu bazy danych, ułatwia to hakerom odgadnięcie nazwy Twojej tabeli. Dlatego zalecamy jej zmianę.
Możesz zmienić prefiks swojej bazy danych, postępując zgodnie z naszym samouczkiem krok po kroku na temat jak zmienić prefiks bazy danych WordPress, aby poprawić bezpieczeństwo.
Uwaga: Zmiana prefiksu bazy danych może spowodować awarię witryny, jeśli nie zostanie wykonana prawidłowo. Rób to tylko wtedy, gdy czujesz się pewnie ze swoimi umiejętnościami kodowania.
Chroń hasłem panel administracyjny i stronę logowania WordPress
Zazwyczaj hakerzy mogą żądać dostępu do Twojego folderu wp-admin i strony logowania bez żadnych ograniczeń. Pozwala im to na próbowanie swoich sztuczek hakerskich lub przeprowadzanie ataków DDoS.
Możesz dodać dodatkową ochronę hasłem na poziomie serwera, co skutecznie zablokuje te żądania.
Po prostu postępuj zgodnie z naszymi instrukcjami krok po kroku dotyczącymi jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin).
Wyłącz indeksowanie i przeglądanie katalogów
Kiedy wpiszesz adres jednego z folderów swojej witryny w przeglądarce internetowej, zostanie wyświetlona strona internetowa o nazwie index.html, jeśli istnieje. Jeśli nie istnieje, zamiast tego zostanie wyświetlona lista plików w tym folderze. Jest to znane jako przeglądanie katalogów.
Przeglądanie katalogów może być wykorzystywane przez hakerów do sprawdzenia, czy masz pliki z znanymi lukami, aby mogli je wykorzystać do uzyskania dostępu.
Przeglądanie katalogów może być również wykorzystywane przez inne osoby do przeglądania Twoich plików, kopiowania obrazów, poznawania struktury katalogów i innych informacji. Dlatego zdecydowanie zaleca się wyłączenie indeksowania i przeglądania katalogów.
Musisz połączyć się ze swoją stroną internetową za pomocą FTP lub menedżera plików swojego dostawcy hostingu. Następnie zlokalizuj plik .htaccess w głównym katalogu swojej strony. Jeśli go tam nie widzisz, zapoznaj się z naszym przewodnikiem na temat tego, dlaczego nie widzisz pliku .htaccess w WordPress.
Następnie musisz dodać następującą linię na końcu pliku .htaccess:
Options -Indexes
Nie zapomnij zapisać i przesłać pliku .htaccess z powrotem na swoją witrynę.
Więcej na ten temat znajdziesz w naszym artykule o tym, jak wyłączyć przeglądanie katalogów w WordPress.
Wyłącz XML-RPC w WordPress
XML-RPC to podstawowe API WordPress, które pomaga połączyć Twoją witrynę WordPress z aplikacjami internetowymi i mobilnymi. Jest domyślnie włączone od wersji WordPress 3.5.
Jednakże, ze względu na swoją potężną naturę, XML-RPC może znacząco wzmocnić ataki typu brute-force.
Na przykład, jeśli haker tradycyjnie chciałby wypróbować 500 różnych haseł na Twojej stronie, musiałby wykonać 500 oddzielnych prób logowania. Wtyczka Limit Login Attempts Reloaded może to wykryć i zablokować.
Ale dzięki XML-RPC haker może użyć funkcji system.multicall do próby tysięcy haseł przy użyciu powiedzmy 20 lub 50 żądań.
Dlatego, jeśli nie używasz XML-RPC, zalecamy jego wyłączenie.
Istnieją 3 sposoby na wyłączenie XML-RPC w WordPressie, a wszystkie z nich omówiliśmy w naszym samouczku krok po kroku na temat jak wyłączyć XML-RPC w WordPressie.
Wskazówka: Metoda .htaccess jest najlepsza, ponieważ zużywa najmniej zasobów. Pozostałe metody są łatwiejsze dla początkujących.
Alternatywnie, jest to obsługiwane automatycznie, jeśli używasz zapory sieciowej aplikacji internetowej (WAF), o której wspomnieliśmy wcześniej.
Automatycznie wyloguj nieaktywnych użytkowników w WordPress
Zalogowani użytkownicy mogą czasami odejść od ekranu, co stanowi ryzyko bezpieczeństwa. Ktoś może przejąć ich sesję, zmienić hasła lub wprowadzić zmiany w ich koncie.
Dlatego wiele stron bankowych i finansowych automatycznie wylogowuje nieaktywnego użytkownika. Możesz ustawić podobną funkcjonalność na swojej stronie WordPress.
Będziesz musiał zainstalować i aktywować wtyczkę Inactive Logout. Po aktywacji przejdź na stronę Ustawienia » Inactive Logout, aby dostosować ustawienia wylogowania.
Po prostu ustaw czas trwania i dodaj komunikat o wylogowaniu. Następnie nie zapomnij kliknąć przycisku „Zapisz zmiany” u dołu strony, aby zapisać swoje ustawienia.
Aby uzyskać instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat automatycznego wylogowywania nieaktywnych użytkowników w WordPressie.
Dodaj pytania zabezpieczające do ekranu logowania WordPress
Dodanie pytania zabezpieczającego do ekranu logowania WordPress sprawia, że osobie nieuprawnionej jest jeszcze trudniej uzyskać dostęp.
Możesz dodać pytania zabezpieczające, instalując wtyczkę Two Factor Authentication. Po aktywacji musisz odwiedzić stronę Multi-factor Authentication » Two Factor, aby skonfigurować ustawienia wtyczki.
Pozwoli to na dodanie różnych typów uwierzytelniania dwuskładnikowego do Twojej witryny, w tym pytań zabezpieczających.
Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym poradnikiem jak dodać pytania zabezpieczające do ekranu logowania WordPress.
Skanowanie WordPressa pod kątem złośliwego oprogramowania i luk
Jeśli masz zainstalowany plugin bezpieczeństwa WordPress, będzie on rutynowo sprawdzał pod kątem złośliwego oprogramowania i oznak naruszeń bezpieczeństwa.
Jednakże, jeśli zauważysz nagły spadek ruchu na stronie lub rankingu w wyszukiwarkach, możesz ręcznie przeskanować stronę pod kątem złośliwego oprogramowania. Możesz to zrobić za pomocą swojej wtyczki bezpieczeństwa WordPress lub jednego z najlepszych skanerów złośliwego oprogramowania i bezpieczeństwa.
Uruchamianie tych skanów online jest dość proste. Wystarczy wprowadzić adres URL swojej strony internetowej, a ich roboty przejrzą Twoją witrynę w poszukiwaniu znanego złośliwego oprogramowania i złośliwego kodu.
Pamiętaj, że większość skanerów bezpieczeństwa WordPressa może jedynie ostrzegać, jeśli Twoja witryna zawiera złośliwe oprogramowanie. Nie mogą usunąć złośliwego oprogramowania ani oczyścić zhakowanej witryny WordPress.
To prowadzi nas do następnej sekcji, czyli czyszczenia złośliwego oprogramowania i zhakowanych stron WordPress.
Napraw zhakowaną witrynę WordPress
Wielu użytkowników WordPress nie zdaje sobie sprawy z wagi kopii zapasowych i bezpieczeństwa strony internetowej, dopóki ich strona nie zostanie zhakowana.
Hakerzy instalują tylne drzwi na zainfekowanych stronach, a jeśli te tylne drzwi nie zostaną odpowiednio naprawione, Twoja witryna prawdopodobnie zostanie ponownie zhakowana.
Dla użytkowników lubiących przygody i majsterkowanie przygotowaliśmy przewodnik krok po kroku dotyczący naprawy zhakowanej witryny WordPress.
Jednak czyszczenie witryny WordPress może być bardzo trudne i czasochłonne. Naszą radą byłoby zlecenie tego profesjonaliście.
Jeśli płacisz za korzystanie z wtyczki bezpieczeństwa Sucuri, o której wspomnieliśmy powyżej, naprawa zhakowanej witryny jest wliczona w cenę.
W przeciwnym razie możesz zapoznać się z naszymi rekomendacjami najlepszych agencji wsparcia WordPress, aby znaleźć profesjonalistów, którzy mogą naprawić Twoją zhakowaną witrynę.
Najczęściej zadawane pytania dotyczące bezpieczeństwa WordPress
Ponieważ bezpieczeństwo WordPress jest tak ważne, regularnie otrzymujemy pytania na ten temat. Oto odpowiedzi na często zadawane pytania dotyczące ochrony stron internetowych WordPress przed atakami.
Czy WordPress jest bezpieczny w użyciu?
WordPress jest zaprojektowany tak, aby był bezpieczny, zwłaszcza jeśli regularnie go aktualizujesz. Jednak ze względu na jego popularność, hakerzy często celują w strony WordPress.
Nie martw się jednak. Postępując zgodnie z prostymi wskazówkami dotyczącymi bezpieczeństwa, takimi jak te zawarte w tym artykule, możesz znacznie zmniejszyć szanse na to, że ktoś zhakuje Twoją stronę internetową.
Co może narazić moją stronę WordPress na ryzyko?
Istnieje wiele sposobów, w jakie hakerzy próbują uzyskać dostęp do stron internetowych. Niektóre powszechne zagrożenia obejmują zgadywanie haseł, instalowanie szkodliwego oprogramowania (malware) oraz znajdowanie luk w kodzie Twojej strony internetowej w celu kradzieży informacji lub przejęcia kontroli.
Jak często należy aktualizować moją stronę WordPress?
Utrzymywanie Twojej strony WordPress, motywów i wtyczek na bieżąco jest bardzo ważne. Nowe aktualizacje często zawierają poprawki problemów z bezpieczeństwem. Spróbuj użyć automatycznych aktualizacji lub sprawdzaj aktualizacje samodzielnie co najmniej raz w tygodniu i instaluj je szybko.
Czy potrzebuję specjalnej wtyczki do bezpieczeństwa?
Nie musisz używać wtyczki bezpieczeństwa, ale może ona znacznie zwiększyć bezpieczeństwo Twojej strony internetowej. Wtyczki bezpieczeństwa działają jak dodatkowi strażnicy Twojej strony, chroniąc Cię przed hakerami i złośliwym oprogramowaniem.
Jak mogę wiedzieć, czy ktoś zhakował moją stronę internetową?
Jeśli zauważysz dziwne rzeczy dziejące się na Twojej witrynie, może to być znak, że zostałeś zhakowany. Może to obejmować pojawienie się nowych użytkowników lub plików, których nie utworzyłeś, Twoja witryna przekierowuje odwiedzających do innych witryn, Twoja witryna działa wolno lub otrzymujesz ostrzeżenia od Google lub Twojego dostawcy hostingu.
Co powinienem zrobić, jeśli moja witryna zostanie zhakowana?
Jeśli myślisz, że Twoja strona została zhakowana, nie panikuj, ale działaj szybko. Możesz skontaktować się ze swoją firmą hostingową i poprosić o pomoc. Możesz również użyć wtyczki bezpieczeństwa lub poprosić eksperta ds. bezpieczeństwa o wyczyszczenie Twojej strony.
Jeśli masz kopię zapasową swojej witryny, przywróć ją z tej kopii. Pamiętaj, aby zmienić wszystkie swoje hasła, w tym te do obszaru administracyjnego WordPress, bazy danych i FTP.
Mamy nadzieję, że ten artykuł pomógł Ci poznać najlepsze praktyki ochrony Twojej strony internetowej oraz naszą rekomendowaną listę kontrolną bezpieczeństwa WordPress. Możesz również zapoznać się z naszym zestawieniem najczęstszych powodów włamań na strony WordPress oraz naszymi ekskluzywnymi wyborami najlepszych wtyczek bezpieczeństwa WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Fred Laxton
Bardzo dobry i wyczerpujący przewodnik, dziękuję!
Dodałbym, że dobrym pomysłem jest zmiana adresu URL logowania WP, używając wtyczki takiej jak:
WPS Hide Login
Używam niestandardowego logowania dla każdej witryny WP, którą buduję za pomocą tego wtyczki. To bardzo pomaga (wraz z ogranicznikami prób logowania, o których wspomniałeś itp.) w blokowaniu prób włamań.
Wsparcie WPBeginner
Changing your login URL is not a security measure, it is more for customizing the login experience. For changing the login URL we would recommend taking a look at our article below
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
Admin
Olaf
Wow, to naprawdę niezwykle wyczerpujący przewodnik po bezpieczeństwie WordPressa. Priorytetem jest dla mnie bezpieczeństwo strony internetowej ponad wszystko, ale szczerze mówiąc, nawet ja prawdopodobnie nigdy nie wdrożyłem tylu różnych środków, aby utrudnić włamanie się do WordPressa. Odważę się powiedzieć, że jeśli ktoś zastosuje nawet 50% z wymienionych przez Ciebie rozwiązań i technik, jego strona będzie praktycznie kuloodporna.
Moinuddin Waheed
Dla bezpieczeństwa strony wordpress, chciałbym zwrócić uwagę na używanie wtyczek firewall.
Użycie odpowiedniej wtyczki, takiej jak Cloudflare CDN lub Sucuri, może chronić stronę przed wszelkiego rodzaju atakami, ponieważ filtruje złośliwy dostęp.
Używam Cloudflare od dawna i mogę zaświadczyć o jego użyteczności w zakresie bezpieczeństwa i wydajności.
Oyatogun Oluwaseun Samuel
To bardzo pouczające. Dodałbym również, że ochrona dostępu do Twojego stanowiska pracy lub laboratorium komputerowego jest również bardzo ważna, ponieważ w dzisiejszych czasach, w ramach bezpieczeństwa, używamy silnych haseł, aby uzyskać dostęp do naszych stron WordPress, których nie można łatwo zapamiętać, co zmusza nas do przechowywania ich w przeglądarce internetowej używanej do dostępu do naszych stron WordPress. Każdy, kto ma dostęp do Twojego komputera i tych przeglądarek, może łatwo użyć zapisanego nazwy użytkownika i hasła, aby zalogować się na Twoją stronę WordPress i spowodować spustoszenie. Po drugie, myślę, że lepiej jest chronić się przed ransomware, ponieważ odzyskanie dostępu do Twojej strony WordPress nie jest gwarantowane nawet po zapłaceniu okupu. Czy mogę zapytać, skąd można wiedzieć, czy Google umieściło jakąś stronę internetową na czarnej liście z powodu złośliwego oprogramowania i phishingu?
Wsparcie WPBeginner
Chcesz skorzystać z naszego poniższego przewodnika, jeśli martwisz się o swoją stronę po ataku złośliwego oprogramowania lub phishingu, aby pomóc w znalezieniu i odzyskaniu po karze.
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
Admin
Oyatogun Oluwaseun Samuel
Dziękuję za odpowiedź, skorzystam z linku i zdobędę więcej wiedzy. Jestem zadowolony z tej odpowiedzi.
uzoma ichetaonye
Wow.. to całkiem obszerny artykuł na temat sposobów ochrony Twojej witryny przed hakerami.
ALE DAM CI TAKĄ RADĘ: Podczas przeglądania internetu NIE klikaj, powtarzam, NIE klikaj w żadne losowe linki, które wyglądają na podejrzane i spamerskie, ani nie pobieraj żadnych plików, które pojawiają się niespodziewanie na Twoim ekranie lub gdziekolwiek bez Twojej prośby. Zawsze wybieraj oryginalne oprogramowanie zamiast pirackiego.
Właśnie w ten sposób hakerzy uzyskują dostęp do Twoich danych logowania i wykorzystują je do uzyskania dostępu do Twojej strony internetowej.
Popełniłem błąd klikając losowo w określony link w celu pobrania określonego linku i moja strona internetowa została zhakowana, ale w końcu odzyskałem nad nią kontrolę.
Więc po prostu unikaj klikania nieautoryzowanych i podejrzanych linków, które obiecują specjalne oferty, aby Cię zwabić.
PO PROSTU BĄDŹ OSTROŻNY I BEZPIECZNY.
Dayo Olobayo
Dziękuję Uzoma za podzielenie się swoim doświadczeniem. To świetne przypomnienie, że hakerzy mogą być podstępni. Masz absolutną rację co do unikania podejrzanych linków i pobierania plików. To niezwykle ważny krok w kierunku bezpieczeństwa witryny. Cieszę się, że odzyskałeś swoją stronę!
Jiří Vaněk
To jest zazwyczaj problem ze wszystkimi nulled pluginami. Wiele osób, myśląc, że oszczędzają dużo pieniędzy na oryginalnym oprogramowaniu, decyduje się na nulled wersję pobraną z nieoficjalnych źródeł. Sztuczka polega na tym, że plugin działa i robi to, co powinien. Świetne dla tych ludzi jest to, że jest darmowy i zaoszczędzili potencjalnie setki dolarów. Ale plugin nie tylko robi to, co powinien – robi również to, co haker chce, żeby zrobił. Po pewnym czasie właściciele tych witryn zdają sobie sprawę, że stracili kontrolę, a przywrócenie witryny do pierwotnego stanu może kosztować więcej niż zapłacenie za plugin z oficjalnego źródła. Czasami naprawa witryny może być nawet niemożliwa. Widziałem kilka witryn, gdzie ostatecznie wszystkie dane musiały zostać usunięte, a wszystko musiało zacząć się od nowa, poprawnie, z płatnymi pluginami, a nie nulled.
Moinuddin Waheed
Nie mogę się bardziej zgodzić z tym faktem, że złośliwe linki są bramami do zagrożeń bezpieczeństwa.
Spamerzy używają wątpliwych linków i próbują uzyskać dostęp do strony internetowej za wszelką cenę.
Dlatego nie można wystarczająco podkreślić, aby klikać tylko w to, co masz pewność, i nigdy, przenigdy nie klikać w żadne losowe linki.
Mrteesurez
Żaden poważny biznes nie zlekceważy potęgi bezpieczeństwa w odniesieniu do stron internetowych, a w szczególności WordPressa. Jego popularność czyni go celem hakerów.
Radzę nowo zainstalowanym stronom WordPress, aby najpierw wdrożyły większość tych środków bezpieczeństwa przed uruchomieniem lub rozpoczęciem działalności.
Kushal Phalak
Świetny artykuł! W zeszłym roku moja strona internetowa została zhakowana (przekierowując do innej podejrzanej strony), więc uważam, że stosowanie środków bezpieczeństwa jest koniecznością. W moim przypadku musiałem usunąć moją stronę internetową i miałem szczęście, że mój dostawca hostingu miał funkcję tworzenia kopii zapasowych. Od tego czasu używałem Wordfence do zabezpieczania moich stron internetowych, ale przeszedłem na Sucuri, ponieważ oferowali usługi takie jak ochrona przed DDoS i CDN.
Moinuddin Waheed
Byłem w podobnej sytuacji, kiedy pracowałem dla strony internetowej renomowanej instytucji.
Po dopracowaniu wszystkiego dyrektor poprosił mnie o datę, aby mógł zaplanować komunikat prasowy.
Z pewnością zasugerowałem mu konkretną datę i przed wyznaczoną datą,
moja strona internetowa uległa uszkodzeniu i niestety nie miałem gotowego planu awaryjnego.
Byłem kompletnie w d*pie i pracowałem cały dzień, próbując przywrócić poprzedni stan działania.
Myślę, że konieczne jest, abyśmy zwracali uwagę na każdy szczegół związany z bezpieczeństwem.
Ayanda Temitayo
Proszę, chcę zapytać, czy zmiana adresu URL domyślnej strony logowania na inny niestandardowy adres URL jest bezpieczna. Na przykład z twojastrona.com/wp-login na twojastrona.com/innaNazwa-login
Kiedyś używałem wtyczki do zmiany adresu URL logowania na inny adres, do którego nikt nie mógł łatwo dotrzeć. Jeden z moich specjalistów SEO powiedział, że jeśli wtyczka jest podatna na ataki, hakerom będzie łatwo zhakować moją stronę i stracę wszystko na mojej stronie, jeśli będę nadal korzystać z niestandardowej ścieżki do strony logowania.
Co sądzisz o zmianie domyślnej trasy logowania?
Wsparcie WPBeginner
Zmiana adresu URL logowania jest kwestią osobistych preferencji, a nie konkretnie bezpieczeństwa.
Admin
al amin Sheikh
Dwie ważne rzeczy na stronie internetowej – wydajność i bezpieczeństwo.
Ładnie wyjaśnione, jak możemy chronić naszą stronę przed hakerami. Dzięki, WPB.
Wsparcie WPBeginner
You’re welcome
Admin
Moinuddin Waheed
Słusznie powiedziano o dwóch najważniejszych rzeczach każdej strony internetowej.
bezpieczeństwo i wydajność.
Myślę, że w przypadku WordPressa te dwie rzeczy w dużej mierze można osiągnąć dzięki dobremu dostawcy hostingu oraz dzięki dobrym motywom i wtyczkom.
Przez większość czasu zła wtyczka może spowodować lukę w zabezpieczeniach, nawet o tym nie wiedząc.
Oczywiście inne aspekty są równie ważne do rozważenia.
mohadese esmaeeli
Witam, dziękuję za ten doskonały artykuł. Chciałbym również dodać kilka pozycji do tej listy, takich jak użycie wtyczki Google reCAPTCHA, zastosowanie sprzętu zabezpieczającego związanego z serwerem, badanie narzędzi bezpieczeństwa w środowisku hostingowym, takich jak Imunify360, oraz regularna zmiana haseł w krótkich odstępach czasu.
Wsparcie WPBeginner
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Admin
Fajri
Wow, metoda wyłączenia XML-RPC w WordPress jest dla mnie zupełnie nowa.
Spróbuję to zastosować, aby zwiększyć bezpieczeństwo moich stron internetowych. Dziękuję za tę informację, zespół!
Wsparcie WPBeginner
Glad you found our article helpful
Admin
Murad Prodhan
WPbeginner to jedna z najlepszych stron dla naszej społeczności. Ten artykuł jest dla mnie bardzo pomocny. Dzięki WPbeginner.
Wsparcie WPBeginner
You’re welcome, glad the guide was helpful
Admin
Jiří Vaněk
To świetny artykuł. Jest tu wiele rzeczy, o których nigdy nie pomyślałem, mimo że starałem się jak najlepiej zabezpieczyć WordPress. Właśnie skopiowałem fragment kodu, aby ukryć komunikaty o błędach podczas logowania do WordPress i zamierzam zastosować go na mojej stronie. Prawdopodobnie nie poprzestanę na tym. Ten artykuł to naprawdę fantastyczna lista świetnych wskazówek. Dziękuję za podnoszenie świadomości na temat bezpieczeństwa. Świetna robota.
Wsparcie WPBeginner
You’re welcome, glad our guide was helpful
Admin
Etop Udoekene
Dziękuję bardzo. Te informacje przyszły do mnie w samą porę, ponieważ ponownie konfiguruję moją stronę internetową po tym, jak złodzieje ukradli mi mojego poprzedniego laptopa i telefon z Androidem.
Jestem naprawdę wdzięczny.
Wsparcie WPBeginner
Proszę bardzo, mam nadzieję, że sprawy się poprawią i mamy nadzieję, że nasz przewodnik pomoże Ci utrzymać bezpieczeństwo Twojej witryny po tym.
Admin
Mark Ellsworth
Dziękuję – bardzo dobrze zorganizowane i wyczerpujące! Z pewnością pomoże to w rozwiązaniu bieżącego i trudnego problemu z instalacjami WordPress.
Wsparcie WPBeginner
Glad you found our security guide helpful
Admin
Ifakayode Femi
Uwielbiam ten artykuł i dodaję tę stronę do zakładek na przyszłość, ponieważ mogę nie pamiętać nazw większości wymienionych tutaj wtyczek, ale szczerze mówiąc, ten artykuł bardzo pomaga.
Dziękuję za poświęcony czas na skomponowanie tego
Dziękuję milion razy
Wsparcie WPBeginner
Glad you found our guide and recommendations helpful!
Admin
Nikhil
dziękuję panu, ta informacja jest bardzo ważna, dziękuję bardzo panu
Wsparcie WPBeginner
Proszę bardzo, cieszę się, że nasz artykuł był pomocny!
Admin
Yasin
Jestem bardzo wdzięczny za ten artykuł, wszystko dzięki wpbeginner.com.
Wsparcie WPBeginner
Proszę bardzo, cieszę się, że nasz przewodnik okazał się pomocny!
Admin
Belinda Viret
Dziękuję za świetną radę!
Wsparcie WPBeginner
Proszę bardzo!
Admin
Marko Kozlica
Wow! Obszerny i dokładny artykuł zarówno dla początkujących, jak i doświadczonych użytkowników WordPress. Tak trzymajcie!
Wsparcie WPBeginner
Cieszymy się, że nasz artykuł okazał się pomocny!
Admin
Federico
Naprawdę dobry przewodnik, bardzo pomocny!
Wsparcie WPBeginner
Cieszę się, że tak myślisz!
Admin
Claudio Lopes
Stosuję się do wskazówek i czuję, że moja strona jest bezpieczniejsza.
Wsparcie WPBeginner
Cieszymy się, że nasz przewodnik mógł Ci pomóc!
Admin
Bob De Maria
Cześć,
Jestem tu zupełnie nowy i to był mój pierwszy e-mail, i jestem bardzo zadowolony, że się zapisałem. Poruszyłeś jedną z moich obaw, która jest na samym szczycie mojej listy.
Nie mogę wystarczająco podziękować za bardzo dobrze napisany i bardzo doceniany tutorial.
Z poważaniem,
Bob De Maria
Wsparcie WPBeginner
Cieszę się, że nasz przewodnik był pomocny!
Admin
Kimberly
FYI: Problem z bezpieczeństwem wtyczki WP Security Questions. Została usunięta z wordpress.org.
Wsparcie WPBeginner
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Admin
MS
Cześć wszystkim! Wielkie dzięki za te przydatne zasoby. 1 pytanie, czy coś z tego wpłynie na czas ładowania mojej strony/stron???
Wsparcie WPBeginner
Nie powinny one powodować większych zmian w szybkości Twojej witryny.
Admin
Jan
Miły artykuł,
Czy używanie reCAPTCHA w formularzach jest pomocne w zabezpieczaniu?
Wsparcie WPBeginner
reCAPTCHA służy bardziej do zapobiegania spamowi niż do bezpieczeństwa.
Admin
tim jackz
Witajcie
Jeśli zainstaluję dwa wtyczki bezpieczeństwa na mojej stronie WordPress, czy są jakieś wady dla mojej strony?
Wsparcie WPBeginner
Powinieneś skontaktować się z pomocą techniczną wtyczek, których chcesz użyć. Niektóre działają razem, ale inne próbują wykonywać te same zadania, co może powodować konflikty.
Admin
Diego
Moja witryna Wordpress działa na WordPress 5.1.8, który jest częścią gałęzi 5.1, ostatnio zaktualizowany w listopadzie 2020 r. Obecna wersja Wordpress to 5.6.2.
Nie do końca rozumiem wszystkie te różne gałęzie WP.
Czy nadal powinienem się aktualizować?
Wsparcie WPBeginner
Zamiast uaktualniać, musisz zaktualizować swoją stronę. Możesz zapoznać się z naszym poniższym przewodnikiem, jak bezpiecznie zaktualizować swoją stronę:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Admin
Julia
Więc płacę premium, a darmowe wtyczki są tylko dla firm, czy jest na to jakieś obejście. Nie pozwalają nam płacić za wtyczki. Premium i niższe nie mogą ich w ogóle używać.
Wsparcie WPBeginner
Byłoby to ograniczenie WordPress.com, w celu poznania różnicy między WordPress.com a WordPress.org, zalecamy zapoznanie się z naszym artykułem poniżej:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Admin
Trisha
Świetny samouczek, dziękuję! Przeglądając moje logi błędów 404, widzę, że wiele botów próbuje uzyskać dostęp do nieistniejących wtyczek w moim folderze /plugins... Nie martwię się zbytnio, ponieważ wtyczki, których szukają, nie istnieją (stąd 404), ALE czy istnieje sposób na ochronę mojego folderu /plugins, który nie zakłóci normalnego działania wtyczek? Czy jest to zalecane? Czy w ogóle powinienem się tym martwić?
Wsparcie WPBeginner
Zazwyczaj nie powinno to być coś, czym powinieneś się martwić, chyba że wtyczka znajduje się na Twojej stronie, wtedy możesz chcieć upewnić się, że masz tę wtyczkę zaktualizowaną na wypadek, gdyby bot szukał wtyczki z luką w zabezpieczeniach.
Admin
Ish
Przejąłem stronę WordPress, skąd mam wiedzieć, czy moja strona miała konto kopii zapasowej w chmurze przed moim przejęciem?
Wsparcie WPBeginner
Musiałbyś sprawdzić swoje aktywne wtyczki i skontaktować się ze swoim dostawcą hostingu, aby dowiedzieć się, co jest aktywne dla Twojej witryny.
Admin
Lu
Jak dowiedzieć się, czy moja strona korzysta z XML-RPC? Naprawdę przydatne jak zawsze. Dziękuję.
Wsparcie WPBeginner
Jeśli Twoja wersja WordPress jest aktualna, powinna być normalnie aktywna na Twojej stronie.
Admin
Julie Taylor
Bardzo pomocne informacje. Chciałbym poznać Twoje zdanie na temat następujących kwestii: jeśli wdrożyłbym wszystkie te sytuacje związane z bezpieczeństwem, szczególnie te związane z kodem itp., czy wpłynie to na możliwość indeksowania strony przez Google i efektywne działanie SEO?
Wsparcie WPBeginner
Zalecenia dotyczące bezpieczeństwa nie powinny wpływać na SEO Twojej witryny.
Admin
MooN Minhas
Dzięki za udostępnienie fajnych informacji.
Wsparcie WPBeginner
Glad you found it helpful
Admin
Samuel
czy ten przewodnik dotyczy również użytkowników WordPress.com?
Wsparcie WPBeginner
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Admin
Leanne
To jedno z najlepszych miejsc z poradnikami (na dowolny temat), jakie znalazłem. Dziękuję, polecę wpbeginner innym – świetna strona!
Wsparcie WPBeginner
You’re welcome and glad you’ve found our content helpful
Admin
Daniel
Wiesz, są ludzie, którzy biorą ponad 50 lub 100 dolarów za nauczenie Cię, jak to wszystko zrobić, a Ty dałeś to za darmo! Wielkie dzięki, chłopaki!
Wsparcie WPBeginner
You’re welcome
Admin
Moc
Dzięki za artykuł, jest naprawdę przydatny
Wsparcie WPBeginner
You’re welcome
Admin
Mydas
To było super pomocne. Mam umiejętności programistyczne, aby zaimplementować wszystko i teraz mogę znacznie lepiej dbać o moje i moich klientów instalacje WordPress. Dziękuję za informacje, są tak kompletne, że nie mogę uwierzyć, że są darmowe xD
Wsparcie WPBeginner
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri
Czy potrzebuję VPN, aby uzyskać dostęp do mojej witryny WordPress z zaplecza jako część bezpieczeństwa mojej witryny WordPress?
Wsparcie WPBeginner
Nie, nie jest to wymagane
Admin
uzoma ichetaonye
Nie sądzę, że potrzebujesz VPN, aby uzyskać dostęp do swojej strony internetowej przez jej zaplecze.
VPN służą do ukrywania lub pomocy w identyfikacji lub dostępu do strony, która została zablokowana z Twojej lokalizacji.
Kam
Dziękuję za ten artykuł. Jest to lektura obowiązkowa!
Jeśli masz hosting takiego jak Bluehost, czy konieczne jest tworzenie kopii zapasowych za pomocą wtyczki takiej jak Updraft plus + zdalne przechowywanie? W końcu dostawcy hostingu powinni zapewniać kopie zapasowe?
Wsparcie WPBeginner
Chociaż niektórzy hostingodawcy oferują kopie zapasowe, nadal zalecamy tworzenie własnych kopii zapasowych dla bezpieczeństwa.
Admin
Kyle B.
Zmiana prefiksu bazy danych nic nie zmieni. Poza tym, niezły artykuł.
Wsparcie WPBeginner
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa
Tylko do wiadomości, w Nginx nie ma pliku konfiguracyjnego na poziomie katalogu, jak .htaccess w Apache. Cała konfiguracja musi być wykonana na poziomie serwera przez administratora, a WordPress nie może modyfikować konfiguracji, tak jak w przypadku Apache. Zatem część dotycząca „Wyłącz wykonanie plików PHP” nie może zostać zrealizowana przez instalacje WordPress działające na Nginx. Dotyczy to również mnie, ponieważ moja instalacja WordPress działa na Vultr. Ich instalacja WordPress jednym kliknięciem jest wdrażana na Nginx (ubuntu 18.04)
Wsparcie WPBeginner
Dziękujemy za udostępnienie tego dla użytkowników, którzy konkretnie używają Nginx do swojej witryny.
Admin
Tom
Jaka jest najlepsza metoda aktualizacji wtyczek, jeśli mam ich kilka do zaktualizowania? Aktualizować po jednej i sprawdzać, czy zaktualizowana wtyczka nie psuje żadnej funkcjonalności na stronie?
Wsparcie WPBeginner
Jeśli obawiasz się, że aktualizacja może uszkodzić Twoją witrynę, zalecamy przetestowanie aktualizacji, postępując zgodnie z naszym przewodnikiem dotyczącym tworzenia środowiska stagingowego poniżej:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija
Niesamowity artykuł, bardzo dobrze sformułowany i udokumentowany.
Bardzo dziękuję wszystkim za to.
Niech wam sił przybywa, róbcie tak dalej.
Na zdrowie,
Kartik.
Wsparcie WPBeginner
Glad you found our guide helpful
Admin
MIMIFTAH
Bardzo pouczająca treść. Dziękuję
Wsparcie WPBeginner
You’re welcome
Admin
Liz
Świetny artykuł. Mam pytanie dotyczące opcji utwardzania. Czytałem, że włączenie utwardzania dla wszystkich opcji może spowodować awarię lub nieprawidłowe działanie niektórych wtyczek lub motywu. Jeśli tak się stanie, jak trudno jest to naprawić? Wydaje się, że jest w tym coś więcej niż tylko cofnięcie opcji utwardzania. Będę wdzięczny za wszelkie wskazówki. Dzięki!
Wsparcie WPBeginner
Trudność, jeśli pojawi się błąd, zależałaby od konkretnego zalecenia utwardzania, wtyczki i komunikatu o błędzie. W przeciwnym razie większość wtyczek nie powinna stanowić problemu.
Admin
Gary Starling
Bardzo pomocne sugestie i dobrze wyjaśnione od podstaw do złożonych
Dziękuję za Twoje wyjaśnienia
Wsparcie WPBeginner
You’re welcome, glad our article could be helpful
Admin
Andrei
Cześć wszystkim,
Po pierwszej enumeracji użytkowników, wtyczka zabezpieczająca przed atakami brute force zablokuje ten adres IP.
Jeśli zabezpieczysz hasłem katalog wp-admin, wtyczka nie będzie już mogła zablokować tego adresu IP.
Czy to prawidłowa ocena?
Wsparcie WPBeginner
Zgadza się, obciążenie byłoby podobne do zablokowanego adresu IP, ale jeśli potrzebujesz, aby wielu nowych użytkowników miało dostęp do Twojej witryny, ograniczenie prób logowania byłoby lepsze niż ochrona hasłem Twojego wp-admin.
Admin
Andrei
Ok, w końcu zrozumiałem, jak to działa i dzielę się tym dla wszystkich. Ochrona hasłem wp-admin odbywa się na poziomie serwera (Apache/Nginx). Jeśli enumeracja użytkowników i ataki brute force nie są w stanie obejść poziomu serwera, nie będą w stanie dotknąć PHP/MySQL. W związku z tym ochrona hasłem wp-admin nie obciąża dodatkowo bazy danych.
Peter
Bardzo pouczające i pomocne, skonfigurowałem wszystkie wspomniane procedury utwardzania, Dziękuję bardzo.
Wsparcie WPBeginner
You’re welcome, glad our guide was helpful
Admin