Security Blog
Posted By Gregory

Jak skutecznie chronić WordPressa: lista rzeczy do zrobienia

English version: How to protect WordPress effectively: a must-do list


Lista rzeczy, które musisz zrobić, aby zapewnić swojej witrynie internetowej trwałą i wysoce bezpieczną ochronę.

Aby w pełni wykorzystać algorytmy bezpieczeństwa WP Cerber, należy skonfigurować wszystkie poniższe ustawienia. Należy to zrobić rozważnie, ponieważ niektóre ustawienia mogą kolidować z inną wtyczką lub ustawieniami serwera WWW. W przypadku jakichkolwiek problemów należy sprawdzić dziennik aktywności pod kątem powiązanych zdarzeń, takich jak odrzucone żądania lub zablokowane adresy IP. Należy pamiętać, że niektóre z funkcji opisanych poniżej są dostępne tylko w wersji profesjonalnej .

1. Włącz automatyczne aktualizacje

Regularne aktualizacje WP Cerber są kluczowe dla silnego bezpieczeństwa WordPressa, ponieważ nieustannie ulepszamy jego algorytmy, wdrażamy ochronę przed nowymi zagrożeniami i naprawiamy błędy oprogramowania. Możesz je włączyć za pomocą kilku kliknięć: Jak włączyć automatyczne aktualizacje dla WP Cerber .

2. Sprawdź główne ustawienia

  1. Przejdź do strony „Ustawienia główne”

  2. Ustaw Załaduj silnik zabezpieczeń” na „Tryb standardowy”

  3. Skonfiguruj „Niestandardowy adres URL logowania”

  4. Ustaw opcję „Przetwarzanie żądań uwierzytelniania wp-login.php” na „Zablokuj dostęp do wp-login.php” lub, co jest bardziej zaawansowane, na „Odmów uwierzytelniania przez wp-login.php”

  5. Włącz opcję „Natychmiast zablokuj adres IP w przypadku próby zalogowania się przy użyciu nieistniejącej nazwy użytkownika”

  6. Włącz „Wyłącz przekierowywanie pulpitu nawigacyjnego”

  7. Opcjonalnie włącz opcję „Natychmiast zablokuj IP po każdym żądaniu do wp-login.php”

3. Aktywuj zasady bezpieczeństwa na karcie Utwardzanie

Minimalny zestaw ustawień, które należy włączyć w sekcji Utwardzanie WordPressa :

  1. „Zatrzymaj enumerację użytkowników”

  2. „Zapobiegaj wykrywaniu nazwy użytkownika za pomocą oEmbed”

  3. „Zapobiegnij wykrywaniu nazw użytkowników za pomocą map witryn XML użytkowników”

  4. „Zablokuj dostęp do stron użytkowników za pomocą ich nazw użytkowników”

  5. „Zablokuj wykonywanie skryptów PHP w folderze multimediów WordPress”

  6. „Wyłącz wyświetlanie błędów PHP”

  7. „Wyłącz XML-RPC”

Zaleca się włączenie następujących ustawień w sekcji Dostęp do interfejsu API REST WordPress :

  1. „Zatrzymaj enumerację użytkowników / Zablokuj dostęp do danych użytkowników za pomocą interfejsu REST API”

  2. „Wyłącz REST API”

  3. „Zezwól na korzystanie z interfejsu API REST dla zalogowanych użytkowników”

Przeczytaj więcej: Ogranicz dostęp do REST API

4. Włącz zaporę Traffic Inspector

  1. Ustaw „Włącz inspekcję ruchu” na „Maksymalne bezpieczeństwo”

  2. Ustaw opcję „Włącz ochronę przed błędami” na „Maksymalne bezpieczeństwo”

5. Włącz zaplanowane skanowanie w poszukiwaniu złośliwego oprogramowania i automatyczne usuwanie złośliwego oprogramowania

Na karcie Ustawienia należy włączyć następujące ustawienia

  1. „Skanuj katalog tymczasowy”

  2. „Skanuj katalog sesji”

Na karcie Czyszczenie :

  1. Musisz włączyć: „Usuń nienadzorowane pliki”, „Odzyskaj pliki WordPress”, „Odzyskaj pliki wtyczek”

  2. Wszystkie pola wyboru w ustawieniach „Pliki w folderze przesyłania” powinny być zaznaczone

6. Włącz ochronę antyspamową, nawet jeśli uważasz, że jej nie potrzebujesz

Na karcie modułu antyspamowego zalecamy włączenie następujących ustawień:

  1. „Formularz komentarzy (Chroń formularz komentarzy za pomocą modułu wykrywania botów)”

  2. „Formularz rejestracyjny (Chroń formularz rejestracyjny za pomocą modułu wykrywania botów)”

  3. „Inne formularze (Chroń wszystkie formularze na stronie internetowej za pomocą modułu wykrywania botów)”

7. Stosuj zasady GEO: blokuj kraje, z którymi nie będziesz mieć umowy

Na stronie administracyjnej zasad bezpieczeństwa skonfiguruj zasady GEO dla krajów, które mogą wchodzić w interakcję z Twoją witryną: przesyłanie formularzy, możliwość logowania się lub rejestrowania itp. Ustawienia te nie uniemożliwiają wyszukiwarkom indeksowania witryny.

8. Zmień nazwę folderu wtyczek WordPress

Zmiana nazwy folderu wtyczek jest jednym z najbardziej niedocenianych sposobów na wzmocnienie ochrony WordPressa. A jednak jest to darmowe i łatwe.

Przeczytaj więcej: Jak zmienić nazwę folderu wtyczek WordPress

9. Włącz uwierzytelnianie dwuskładnikowe

Aby chronić konta użytkowników, włącz uwierzytelnianie dwuskładnikowe (2FA). Zapewnia ono dodatkową warstwę bezpieczeństwa, wymagającą drugiego czynnika identyfikacji wykraczającego poza samą nazwę użytkownika i hasło.

Przeczytaj więcej: Jak włączyć uwierzytelnianie dwuskładnikowe dla WordPressa

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.