Security Blog

Jak skutecznie chronić WordPressa: lista rzeczy, które musisz zrobić


English version: How to protect WordPress effectively: a must-do list


Lista rzeczy, które musisz zrobić, aby uzyskać wysoki poziom bezpieczeństwa i trwałą ochronę swojej witryny internetowej.

Aby w pełni wykorzystać algorytmy bezpieczeństwa WP Cerber, należy skonfigurować wszystkie poniższe ustawienia. Zrób to ostrożnie, ponieważ niektóre ustawienia mogą powodować konflikt z inną wtyczką lub ustawieniami Twojego serwera internetowego. W przypadku jakichkolwiek problemów sprawdź dziennik aktywności pod kątem powiązanych zdarzeń, takich jak odrzucone żądania lub zablokowane adresy IP. Należy pamiętać, że niektóre z opisanych poniżej funkcji są dostępne wyłącznie w wersji profesjonalnej .

1. Włącz automatyczne aktualizacje

Regularne aktualizacje WP Cerber są kluczowe dla silnego bezpieczeństwa WordPressa, ponieważ stale ulepszamy jego algorytmy, wdrażamy ochronę przed pojawiającymi się zagrożeniami i naprawiamy błędy oprogramowania. Możesz je włączyć kilkoma kliknięciami: Jak włączyć automatyczne aktualizacje dla WP Cerber .

2. Sprawdź ustawienia główne

  1. Przejdź do strony „Ustawienia główne”.
  2. Ustaw Załaduj silnik bezpieczeństwa” na „Tryb standardowy”
  3. Skonfiguruj „Niestandardowy adres URL logowania”
  4. Ustaw „Przetwarzanie żądań uwierzytelnienia wp-login.php” na „Blokuj dostęp do wp-login.php” lub, co jest bardziej zaawansowane, na „Odmów uwierzytelnienia przez wp-login.php”
  5. Włącz opcję „Natychmiast blokuj adres IP przy próbie zalogowania się przy użyciu nieistniejącej nazwy użytkownika”
  6. Włącz opcję „Wyłącz przekierowywanie pulpitu nawigacyjnego”
  7. Opcjonalnie włącz „Natychmiast blokuj adres IP po każdym żądaniu do wp-login.php”

3. Aktywuj polityki bezpieczeństwa w zakładce Hartowanie

Minimalny zestaw ustawień, które musisz włączyć w sekcji Hartowanie WordPressa :

  1. „Zatrzymaj wyliczanie użytkowników”
  2. „Zapobiegaj odkrywaniu nazwy użytkownika poprzez oEmbed”
  3. „Zapobiegaj odkrywaniu nazw użytkowników za pomocą map witryn XML”
  4. „Blokuj dostęp do stron użytkowników za pomocą ich nazw użytkowników”
  5. „Blokuj wykonywanie skryptów PHP w folderze multimediów WordPress”
  6. „Wyłącz wyświetlanie błędów PHP”
  7. „Wyłącz XML-RPC”

Zalecane jest włączenie następujących ustawień w sekcji Dostęp do API REST WordPress :

  1. „Zatrzymaj wyliczanie użytkowników / Zablokuj dostęp do danych użytkownika poprzez REST API”
  2. „Wyłącz interfejs API REST”
  3. „Zezwalaj na API REST dla zalogowanych użytkowników”

Czytaj więcej: Ogranicz dostęp do REST API

4. Włącz zaporę Traffic Inspector

  1. Ustaw „Włącz kontrolę ruchu” na „Maksymalne bezpieczeństwo”
  2. Ustaw „Włącz osłonę błędów” na „Maksymalne bezpieczeństwo”

5. Włącz zaplanowane skanowanie w poszukiwaniu złośliwego oprogramowania i automatyczne usuwanie złośliwego oprogramowania

Na karcie Ustawienia należy włączyć następujące ustawienia

  1. „Skanuj katalog tymczasowy”
  2. „Skanuj katalog sesji”

Na karcie Czyszczenie :

  1. Musisz włączyć: „Usuń pliki nienadzorowane”, „Odzyskaj pliki WordPress”, „Odzyskaj pliki wtyczek”
  2. Wszystkie checkboxy w ustawieniach "Pliki w folderze przesłanych plików" powinny być zaznaczone

6. Włącz ochronę antyspamową, nawet jeśli uważasz, że jej nie potrzebujesz

Na karcie Silnik antyspamowy zalecamy włączenie następujących ustawień:

  1. „Formularz komentarza (Chroń formularz komentarza za pomocą silnika wykrywania botów)”
  2. „Formularz rejestracyjny (Chroń formularz rejestracyjny za pomocą silnika wykrywającego boty)”
  3. „Inne formularze (Chroń wszystkie formularze w witrynie za pomocą silnika wykrywającego boty)”

7. Korzystaj z zasad GEO: blokuj kraje, z którymi nie będziesz mieć umowy

Na stronie administracyjnej Reguły bezpieczeństwa skonfiguruj zasady GEO dla krajów, które mogą wchodzić w interakcję z Twoją witryną: wysyłanie formularzy, możliwość logowania lub rejestracji itp. Te ustawienia nie uniemożliwiają wyszukiwarkom indeksowania witryny.

8. Zmień nazwę folderu wtyczek WordPress

Zmiana nazwy folderu wtyczek to jeden z najbardziej niedocenianych sposobów na wzmocnienie ochrony WordPressa. A mimo to jest to bezpłatne i łatwe.

Przeczytaj więcej: Jak zmienić nazwę folderu wtyczek WordPress

9. Włącz uwierzytelnianie dwuskładnikowe

Aby chronić konta użytkowników, włącz uwierzytelnianie dwuskładnikowe (2FA). Zapewnia dodatkową warstwę bezpieczeństwa wymagającą drugiego czynnika identyfikacji, poza samą nazwą użytkownika i hasłem.

Przeczytaj więcej: Jak włączyć uwierzytelnianie dwuskładnikowe w WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.