Security Blog
Posted By Gregory

Jak skutecznie chronić WordPressa: lista rzeczy do zrobienia

English version: How to protect WordPress effectively: a must-do list


Lista rzeczy, które musisz zrobić, aby zapewnić swojej witrynie internetowej wysoki poziom bezpieczeństwa i trwałą ochronę.

Aby w pełni wykorzystać algorytmy bezpieczeństwa WP Cerber, należy skonfigurować wszystkie poniższe ustawienia. Należy to robić rozważnie, ponieważ niektóre ustawienia mogą kolidować z ustawieniami innej wtyczki lub serwera WWW. W przypadku jakichkolwiek problemów należy sprawdzić dziennik aktywności pod kątem powiązanych zdarzeń, takich jak odrzucone żądania lub zablokowane adresy IP. Należy pamiętać, że niektóre z funkcji opisanych poniżej są dostępne tylko w wersji profesjonalnej .

1. Włącz automatyczne aktualizacje

Regularne aktualizacje WP Cerber są kluczowe dla silnego bezpieczeństwa WordPressa, ponieważ stale ulepszamy jego algorytmy, wdrażamy zabezpieczenia przed nowymi zagrożeniami i naprawiamy błędy w oprogramowaniu. Możesz je włączyć kilkoma kliknięciami: Jak włączyć automatyczne aktualizacje dla WP Cerber .

2. Sprawdź ustawienia główne

  1. Przejdź do strony „Ustawienia główne”

  2. Ustaw Załaduj silnik zabezpieczeń” na „Tryb standardowy”

  3. Skonfiguruj „Niestandardowy adres URL logowania”

  4. Ustaw opcję „Przetwarzanie żądań uwierzytelniania wp-login.php” na „Zablokuj dostęp do wp-login.php” lub, co jest bardziej zaawansowane, na „Odmów uwierzytelniania za pomocą wp-login.php”

  5. Włącz opcję „Natychmiast zablokuj adres IP w przypadku próby zalogowania się przy użyciu nieistniejącej nazwy użytkownika”

  6. Włącz opcję „Wyłącz przekierowywanie pulpitu nawigacyjnego”

  7. Opcjonalnie włącz opcję „Natychmiast zablokuj adres IP po każdym żądaniu do pliku wp-login.php”

3. Aktywuj zasady bezpieczeństwa na karcie Wzmocnienie

Minimalny zestaw ustawień, które należy włączyć w sekcji Wzmocnienie WordPressa :

  1. „Zatrzymaj enumerację użytkowników”

  2. „Zapobiegnij odkryciu nazwy użytkownika za pomocą oEmbed”

  3. „Zapobiegaj wykrywaniu nazw użytkowników za pomocą map witryn XML użytkowników”

  4. „Zablokuj dostęp do stron użytkowników za pomocą ich nazw użytkowników”

  5. „Zablokuj wykonywanie skryptów PHP w folderze multimediów WordPress”

  6. „Wyłącz wyświetlanie błędów PHP”

  7. „Wyłącz XML-RPC”

Zaleca się włączenie następujących ustawień w sekcji Dostęp do interfejsu API REST WordPress :

  1. „Zatrzymaj enumerację użytkowników / Zablokuj dostęp do danych użytkowników za pośrednictwem interfejsu REST API”

  2. „Wyłącz API REST”

  3. „Zezwól na korzystanie z interfejsu API REST zalogowanym użytkownikom”

Czytaj więcej: Ogranicz dostęp do interfejsu API REST

4. Włącz zaporę Traffic Inspector

  1. Ustaw opcję „Włącz inspekcję ruchu” na „Maksymalne bezpieczeństwo”

  2. Ustaw opcję „Włącz ochronę przed błędami” na „Maksymalne bezpieczeństwo”

5. Włącz zaplanowane skanowanie w poszukiwaniu złośliwego oprogramowania i automatyczne usuwanie złośliwego oprogramowania

Na karcie Ustawienia należy włączyć następujące ustawienia

  1. „Skanuj katalog tymczasowy”

  2. „Skanuj katalog sesji”

Na karcie Czyszczenie :

  1. Musisz włączyć: „Usuń nienadzorowane pliki”, „Odzyskaj pliki WordPress”, „Odzyskaj pliki wtyczek”

  2. Wszystkie pola wyboru w ustawieniach „Pliki w folderze przesyłania” powinny być zaznaczone

6. Włącz ochronę antyspamową, nawet jeśli uważasz, że jej nie potrzebujesz

Na karcie modułu antyspamowego zalecamy włączenie następujących ustawień:

  1. Formularz komentarzy (Chroń formularz komentarzy za pomocą mechanizmu wykrywania botów)

  2. Formularz rejestracyjny (Chroń formularz rejestracyjny za pomocą modułu wykrywania botów)

  3. „Inne formularze (Chroń wszystkie formularze na stronie internetowej za pomocą modułu wykrywania botów)”

7. Stosuj zasady GEO: blokuj kraje, z którymi nie będziesz zawierać umów

Na stronie administracyjnej Reguł bezpieczeństwa skonfiguruj zasady GEO dla krajów, które mogą wchodzić w interakcję z Twoją witryną: przesyłanie formularzy, możliwość logowania się lub rejestrowania itp. Ustawienia te nie uniemożliwiają wyszukiwarkom indeksowania witryny.

8. Zmień nazwę folderu wtyczek WordPress

Zmiana nazwy folderu z wtyczkami to jeden z najbardziej niedocenianych sposobów na wzmocnienie ochrony WordPressa. A przecież jest darmowy i prosty.

Przeczytaj więcej: Jak zmienić nazwę folderu wtyczek WordPress

9. Włącz uwierzytelnianie dwuskładnikowe

Aby chronić konta użytkowników, włącz uwierzytelnianie dwuskładnikowe (2FA). Zapewnia ono dodatkową warstwę bezpieczeństwa, wymagającą drugiego czynnika identyfikacji, wykraczającego poza samą nazwę użytkownika i hasło.

Przeczytaj więcej: Jak włączyć uwierzytelnianie dwuskładnikowe w WordPressie

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.