Üle 40% 10 miljonist populaarseimast veebisaidist kasutavad WordPressi. Kuid kas WordPress on ohutu? Lühike vastus sellele küsimusele on jah – WordPress on turvaline. See aga ei tähenda, et WordPressil poleks haavatavusi.

Õnneks on WordPressi kogukond dokumenteerinud palju levinud WordPressi haavatavusi, mis muudab veebisaidi administraatoritel oma saidile turvakihtide lisamise lihtsaks. Selles artiklis käsitlen 5 lihtsat viisi oma WordPressi veebisaidi loomiseks rohkem turvaline.

Sisukord

1. Teil on ainulaadsed administraatori kasutajanimed ja tugevad sisselogimisparoolid

Administraatori sisselogimisleht on teie WordPressi veebisaidi esimene kaitseliin. See on koht, kus iga administraator või kasutaja saab juurdepääsu teie saidi "taustaprogrammile" ja saab teha saidi muudatusi, sisestada või ekstraktida kasutaja/kliendi andmeid või lisada või eemaldada saidi faile ja funktsioone – eeldusel, et neil on selleks luba .

Kuid halvad näitlejad võivad seda sisselogimislehte kasutada ka teie saidivastase rünnaku väravana. Näiteks jaotises "Brute Force” rünnakute korral üritavad häkkerid korduvalt ära arvata teie sisselogimismandaate, et teie saidile pääseda.

Kui kasutate üldist administraatori kasutajanime ja parooli (nt kasutajanimeks "admin" ja parooliks "password1234"), ei läheks kaua aega, kuni need häkkerid teie saidi tundliku teabe sisse tungivad.

Seetõttu on esimene lihtne asi, mida saate oma saidi turvalisemaks muutmiseks teha kasutage saidi sisselogimismandaatide jaoks ainulaadseid kasutajanimesid ja tugevaid paroole. Samuti peaksite veenduma, et teie kasutajanimi ja parool on olemas teie WordPressi veebisaidile ainulaadne ja seda ei kasutata muude sisselogimiskohtade jaoks (nt teie Interneti-panga või sotsiaalmeedia sisselogimine). See lisab täiendava turvakihi.

Kui aga kasutate oma kasutajanimesid ja paroole mitmel saidil uuesti, satuvad kõik neid mandaate kasutavad saidid ohtu, kui häkker satub ühele neist ohtu.

Kui olete mures oma sisselogimisandmete kaotamise pärast, tehke teabest paberkoopia (kasutage kindlasti õigeid suurtähti!). Hoidke paberkoopiat turvalises kohas, kuhu pääsete juurde ainult teil ja usaldusväärsetel isikutel (näiteks lukustatavas arhiivikapis).

Lisaks saate oma WordPressi sisselogimislehe jaoks lubada kahefaktorilise autentimise või ühekordse parooli (OTP). See annab veel ühe turvakihi kõrgema kaitsetaseme jaoks. Näiteks WordPressi turbeplugin SG Security (mis tuleb kaasa SiteGround hostimisplaanid) on varustatud kahefaktorilise autentimise funktsiooniga, mis kasutab Google'i autentimise pistikprogrammi. See tähendab, et isegi kui häkker arvas ära teie administraatori kasutajanime ja parooli, peab ta teie saidi taustaprogrammile juurdepääsu saamiseks ikkagi välja selgitama juhuslikult loodud autentimiskoodi.

WordPressi lihtsustamine: Davies Media Designi kursus võimsate veebisaitide loomise kohta

2. Kasutage WordPressi uusimat versiooni

Veel üks lihtne viis saidi turvalisuse tagamiseks on kasutada alati WordPressi uusimat versiooni. WordPress töötab "väljalasketsüklil", mis annab välja põhikoodi uued versioonid umbes iga 4 kuu järel. Kuigi WordPressi uued versioonid võivad olla väikesed või suuremad, sisaldavad need peaaegu alati turvavärskendusi.

Need värskendused põhinevad uusimal teabel sellistest allikatest nagu Avatud veebirakenduse turbeprojekt (OWASP Foundation), "veebirakenduste turvalisusele pühendatud veebikogukond."

Õnneks saab WordPressi ja iga selle uue versiooni alati teie saidile tasuta installida. Ja enamikul juhtudel värskendab WordPress teie saiti automaatselt uusimale versioonile (välja arvatud juhul, kui te seda konkreetselt keelate või kui te ei kasuta WordPressi versioonist 3.7 vanemat versiooni).

Lisaks kulutab WordPressi põhimeeskond palju pingutusi WordPressi uute versioonide tagasiühildumiseks. See tähendab lihtsalt, et WordPressi uued versioonid on loodud töötama teie olemasolevate teemade, pistikprogrammide ja kohandatud koodiga.

Saate kontrollida, kas teie saiti on värskendatud uusimale versioonile, navigeerides valikusse Armatuurlaud> Värskendused (ülaloleval pildil kollane nool). Siin näete, millist WordPressi versiooni te kasutate ja kas see on uusim saadaolev versioon (ülaloleval pildil on punane nool).

Oluline on märkida, et kui kasutate palju vanemat versiooni, ei soovi te tavaliselt WordPressi uusimale versioonile hüpata.

Näiteks kui kasutate oma reaalajas saidil WordPress 4.9 (välja antud 2017. aastal), ei soovita ma proovida värskendada otse versioonile WordPress 6.2 (selle artikli avaldamise ajal uusim versioon). See rikub asjad.

Selle asemel saate alla laadida ja installida varasemad väljaanded oma veebisaidile ja ajakohastage seda aeglaselt. Lisaks soovite enne värskenduste tegemist oma saidi failid varundada. Soovitan üle vaadata see artikkel kirjeldab erinevaid samme, mida teha enne WordPressi saidi varundamise alustamist, selle ajal ja pärast seda. See võib kindlasti olla protsess, kuid see säästab teid peavalust, mis tuleneb saidi kokkujooksmisest ja pärast seda, kui proovite kõike hiljem parandada.

Pange tähele, et mida vanem on teie praegune WordPressi versioon, seda tüütum ja ebakindlam see protsess on. See on veelgi enam põhjust hoida oma WordPressi versioon alati ajakohasena!

3. Värskendage oma teema uusimale versioonile ja desinstallige kasutamata teemad

WordPress tugevdab oma vaiketeemade turvalisust pidevalt arendades, kordades ja välja pakkudes uusi teemaversioone. See tähendab, et peaksite alati võimalusel kasutama WordPressi uusimat vaiketeemat, kuna sellel on sisseehitatud kõik uusimad turvavärskendused.

Õnneks on lihtne kindlaks teha, milline vaiketeema on uusim, kuna iga uus teema nimetab selle praeguse (või tulevase) aasta järgi, millal teema välja tuleb. Näiteks nende 2023. aastal välja antud teema kannab nime "Twenty Twenty-Three".

Lisaks turvavärskendustele sisaldavad uued vaiketeemad ka palju uusi funktsioone, mille eesmärk on muuta teie veebisaitide kujundamine lihtsamaks ja nauditavamaks. Lisaks on nendega sageli kaasas toimivuse täiustused, mis parandavad teie saidi toimivust ja aitavad teil seeläbi saada rohkem liiklust.

Kas pole kindel, kuidas WordPressis oma teemasid värskendada? Ma näitan teile, kuidas minu WordPress algajatele 2023: koodita WordPressi meistriklass Udemy kohta.

Olenemata sellest, kas otsustate oma WordPressi saidi jaoks kasutada uusimat vaiketeemat või jääte endale sobiva teema juurde, peaksite oma saidi tagaosast alati kustutama kõik passiivsed või muul viisil kasutamata teemad. Selle põhjuseks on asjaolu, et kasutamata teemadel (eriti vanematel teemadel või kolmandate osapoolte teemadel) võib olla turvaauke, mis hõlbustavad häkkeritel teie saidile juurdepääsu ja selle ründamist.

Sellest Davies Media Designi abiartiklist leiate teavet selle kohta, kuidas WordPressist kasutamata teemasid kustutada.

4. Värskendage pistikprogrammid nende uusimale versioonile ja kontrollige ühilduvust

Üks asi, mis WordPressi suurepäraseks teeb, on kolmandate osapoolte pistikprogrammide integreerimine. Kõik pistikprogrammid ei ole aga võrdsed ja mõned neist võivad teie saidile tekitada turvaauke.

Õnneks on pistikprogrammide tekitatud turvaohtude riski vähendamiseks mõned lihtsad asjad.

Alustuseks on alati soovitatav, et laadige WordPressi hoidlast alla ja installige WordPressi pistikprogrammid. Selle põhjuseks on asjaolu, et siin loetletud pistikprogrammid peavad enne allalaadimiseks kättesaadavaks tegemist üle vaatama ja heaks kiitma WordPressi turvameeskond. Need pistikprogrammid leiate aadressilt see otselink pluginate hoidlassevõi otse oma saidi WP administraatoriala seest, avades Pluginad> Lisa uus (alloleval pildil kollane nool).

Kui otsustate, millist pistikprogrammi oma WordPressi saidi jaoks alla laadida, soovitan tungivalt kasutada pistikprogramme, mis on loetletud kui „ühilduvad teie WordPressi versiooniga”. Õnneks annab WordPress teile otse pluginate kataloogis teada, kas teie pistikprogramm ja WordPressi versioon ühilduvad (punane nool ülaloleval pildil). Pluginad, mida pole WordPressi uusima versiooniga testitud, kuvavad teate: "Teie WordPressi versiooniga testimata" (sinine nool ülaloleval pildil).

Kuigi testimata pistikprogrammid võivad teie WordPressi versiooni ja teemaga hästi töötada, võib nende pistikprogrammidega olla seotud avastamata turvanõrkusi. Seetõttu kasutage selliseid pistikprogramme oma veebisaidil ettevaatlikult.

Pange tähele, et WordPress väidab oma turvalisuse valges raamatus: "Pistikprogrammide ja teemade lisamine hoidlasse ei garanteeri, et need on turvaaukudest vabad." Seda arvestades eemaldatakse hoidlast teadaolevate "tõsiste haavatavustega" pistikprogrammid ja WordPressi turvameeskond võib need isegi enne hoidlasse uuesti postitamist parandada.

Lõpuks, kui olete oma saidile installinud pistikprogrammid, peaksite kindlasti hoidma need kõik ajakohasena. Pistikprogrammide arendajad tutvustavad tavaliselt oma uute versioonidega turvavärskendusi ja -parandusi. Seega, kui teil on pistikprogrammi uusim versioon, tagate, et teie saidil on selle pistikprogrammi jaoks saadaval kõik uusimad turbevärskendused. Nii nagu kasutamata või mitteaktiivsete teemade puhul, soovitan teil ka oma saidil kõik kasutamata pistikprogrammid desaktiveerida ja desinstallida, et vähendada tõenäosust, et sellised pistikprogrammid tekitavad hiljem turvaauku.

Kui te pole kindel, kuidas WordPressis pistikprogramme värskendada, soovitan tungivalt seda protsessi minu lehel kontrollida WordPress algajatele 2023: koodita WordPressi meistriklass Udemy kohta.

5. Lisage oma domeenile SSL-sertifikaat

lõplik lihtne viis oma WordPressi saidile 2023. aastal turvalisuse lisamiseks on lisada oma domeenile SSL-sertifikaat.

SSL-i (Secure Socket Layer) sertifikaadid kinnitavad sisuliselt, et sisu, mida teie saidi külastajad näevad, pärineb sisu tegelikult loojalt, mitte petturilt või petturlikult veebisaidilt. Teisisõnu, see kontrollib otse kasutaja brauseris, et kõik on seaduslik.

Saitidel, mille SSL-sertifikaat on õigesti seadistatud, on brauseri otsinguribal saidi URL-i kõrval lukuikoon. Näiteks kui vaatate selle veebisaidi ülaosa Google'i Chrome'i brauseris, näete peamise URL-i kõrval lukuikooni (ülaloleval pildil punane nool). Kui klõpsate lukuikoonil, näete rida "Ühendus on turvaline". See on Google, kes kinnitab, et ühendus selle veebisaidi ja külastaja veebibrauseri vahel on turvaline ja privaatne.

SSL-sertifikaadid on eriti olulised iga veebisaidi jaoks, mis kogub ÜKSKÕIK kasutajaandmete tüüp. See hõlmab lihtsat kontaktivormilt kogutud teavet (nt nimi, e-posti aadress, telefoninumber jne), aga ka keerukamat või privaatset teavet, mida kogutakse näiteks e-kaubanduse saidilt (st krediitkaardi numbrid, aadress, jne.). Muutes veebisaidi ja saidi külastajate vahelise ühenduse turvaliseks, muudavad SSL-sertifikaadid häkkeritel kahe osapoole vahel vahetatava teabe varastamise väga raskeks.

Mõned veebisaidi hostimise ettevõtted võtavad SSL-sertifikaadi eest tasu, teised (nt Siteground) pakub a tasuta SSL-sertifikaat. Enamik hostingu pakkujaid peaks pakkuma SSL-sertifikaati ja andma juhiseid selle installimiseks oma WordPressi veebisaidile.

Lisaboonusena seavad otsingumootorid, nagu Google, SSL-sertifikaatidega veebisaidid kõrgemale kui need, millel seda pole. Teisisõnu, SSL-sertifikaadid mitte ainult ei muuda teie saite turvalisemaks, vaid võivad aidata ka teie saidil suurendada liiklust.

Selle artikli jaoks on kõik! Kui teile see meeldis, saate minu lehelt lisateavet selle kohta, kuidas WordPressi veebisaiti algusest lõpuni luua WordPress algajatele 2023: koodita WordPressi meistriklass Udemy kohta.