Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Puchar WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Najlepszy przewodnik po zabezpieczeniach WordPress – krok po kroku (2024)

Dbanie o bezpieczeństwo witryny WordPress jest ważne dla każdego właściciela witryny. Podobnie jak chronisz swój dom lub firmę, musisz również chronić swoją witrynę przed zagrożeniami online.

Jeśli nie podejmiesz odpowiednich kroków w celu zabezpieczenia swojej witryny, może być ona zagrożona. Każdego dnia Google blokuje tysiące stron internetowych z powodu złośliwego oprogramowania i innych problemów związanych z bezpieczeństwem.

Przez wiele lat skutecznie chroniliśmy WPBeginner przed powtarzającymi się atakami. Robimy to, używając najlepszych wtyczek bezpieczeństwa i przestrzegając najlepszych praktyk bezpieczeństwa WordPress.

W tym przewodniku podzielimy się naszymi najważniejszymi wskazówkami i listą kontrolną bezpieczeństwa WordPress, aby pomóc Ci chronić swoją witrynę przed hakerami i złośliwym oprogramowaniem.

The Ultimate WordPress Security Guide - Step by Step

Podczas gdy rdzeń oprogramowania WordPress jest bardzo bezpieczny i jest regularnie audytowany przez setki programistów, nadal pozostaje wiele do zrobienia, aby twoja witryna była bezpieczna.

W WPBeginner wierzymy, że zabezpieczenia to nie tylko eliminacja ryzyka. Zamierzasz je również ograniczyć. Jako właściciel witryny internetowej możesz wiele zrobić, aby poprawić zabezpieczenia WordPressa, nawet jeśli nie jesteś specjalistą w tej dziedzinie.

Właśnie dlatego przygotowaliśmy listę kontrolną bezpieczeństwa WordPress zawierającą możliwe do wykonania działania, które można podjąć, aby chronić swoją witrynę przed lukami w zabezpieczeniach.

Aby to ułatwić, stworzyliśmy spis treści, który pomoże ci łatwo poruszać się po naszym najlepszym przewodniku po zabezpieczeniach WordPress.

Spis treści

Podstawy zabezpieczeń WordPressa

Zabezpieczenia WordPress w prostych krokach (bez kodowania)

Zabezpieczenia WordPress dla majsterkowiczów

Gotowy? Zaczynajmy.

Dlaczego zabezpieczenia witryny internetowej są ważne?

Zhakowana witryna internetowa WordPress może poważnie zaszkodzić przychodom i reputacji twojej firmy. Hakerzy mogą wykraść informacje o użytkownikach i hasła, zainstalować złośliwe oprogramowanie, a nawet rozpowszechniać złośliwe oprogramowanie wśród twoich użytkowników.

W najgorszym przypadku może się okazać, że zapłacisz hakerom okup, aby odzyskać dostęp do twojej witryny internetowej.

Ransomware Attack

Każdego dnia Google ostrzega 12-14 milionów użytkowników, że witryna internetowa, na którą próbują przejść, może zawierać złośliwe oprogramowanie lub wykradać informacje.

Co więcej, Google każdego dnia umieszcza na czarnej liście ponad 10 000 witryn z powodu złośliwego oprogramowania lub phishingu.

Tak jak właściciele firm z fizyczną lokalizacją są odpowiedzialni za zabezpieczenie swojej własności, tak właściciele firm internetowych muszą zwracać szczególną uwagę na zabezpieczenia swojego WordPressa.

[Powrót do góry ↑]

Aktualizuj WordPress

Easily update WordPress

WordPress jest oprogramowaniem typu open-source i jest regularnie utrzymywany i aktualizowany. Domyślnie WordPress automatycznie instaluje drobne aktualizacje.

W przypadku głównych wydań należy ręcznie zainicjować aktualizację.

WordPress zawiera również tysiące wtyczek i motywów, które możesz zainstalować na swojej witrynie internetowej. Te wtyczki i motywy są utrzymywane przez zewnętrznych programistów, którzy regularnie wydają aktualizacje.

Aktualizacje WordPress mają kluczowe znaczenie dla zabezpieczenia i stabilności twojej witryny WordPress. Musisz upewnić się, że twój rdzeń WordPress, wtyczki i motyw są aktualne.

[Powrót do góry ↑]

Silne hasła i uprawnienia użytkowników

Manage strong passwords

Najczęstsze próby włamań do WordPressa wykorzystują skradzione hasła. Możesz to utrudnić, używając silniejszych haseł, które są unikatowe dla twojej witryny internetowej.

Nie mówimy tu tylko o obszarze administracyjnym WordPress. Pamiętaj, aby utworzyć silne hasła do kont FTP, baz danych, kont hostingowych WordPress i własnych adresów e-mail, które używają nazwy domeny Twojej witryny.

Wielu początkujących nie lubi używać silnych haseł, ponieważ są one trudne do zapamiętania. Dobrą rzeczą jest to, że nie musisz już pamiętać haseł, ponieważ możesz po prostu użyć menedżera haseł.

Więcej informacji można znaleźć w naszym przewodniku na temat zarządzania hasłami WordPress.

Innym sposobem na zmniejszenie ryzyka jest nieudzielanie nikomu dostępu do twojego konta administratora WordPress, chyba że jest to absolutnie konieczne.

Jeśli masz duży zespół lub autorów gościnnych, upewnij się, że rozumiesz role i możliwości użytkowników w WordPressie, zanim utworzysz nowe konta użytkowników i autorów w swojej witrynie WordPress.

[Powrót do góry ↑]

Zrozumienie roli hostingu WordPress

SiteGround

Twoja usługa hostingowa WordPress odgrywa najważniejszą rolę w zabezpieczeniu witryny WordPress. Dobry dostawca hostingu współdzielonego, taki jak Hostinger, Bluehost lub SiteGround, podejmuje dodatkowe środki, aby zabezpieczyć swoje serwery przed typowymi zagrożeniami.

Oto kilka sposobów, w jakie dobre firmy hostingowe pracują w tle, aby zabezpieczyć twoje witryny internetowe i dane:

  • Stale monitorują swoją sieć pod kątem podejrzanego włączania.
  • Wszystkie dobre firmy hostingowe posiadają narzędzia zapobiegające atakom DDoS na dużą skalę.
  • Aktualizują oprogramowanie serwera, wersje PHP i sprzęt, aby uniemożliwić hakerom wykorzystanie znanej luki w zabezpieczeniach w starej wersji.
  • Dysponują gotowymi do wdrożenia planami odzyskiwania danych po awarii i planami awaryjnymi, które pozwalają zabezpieczyć twoje dane w razie poważnej awarii.

W przypadku hostingu współdzielonego zasoby serwera są współdzielone z wieloma innymi klientami. Istnieje ryzyko zarażenia między witrynami, w którym haker może użyć sąsiedniej witryny internetowej do zaatakowania twojej witryny.

Natomiast korzystanie z zarządzanej usługi hostingu WordPress zapewnia bardziej bezpieczną platformę dla twojej witryny internetowej. Zarządzane firmy hostingowe WordPress oferują automatyczne kopie zapasowe, automatyczne aktualizacje WordPress i bardziej zaawansowane konfiguracje zabezpieczeń w celu ochrony twojej witryny internetowej

Polecamy Siteground jako naszego preferowanego dostawcę zarządzanego hostingu WordPress. Mają responsywną obsługę, szybkie serwery i doskonałą niezawodność.

Upewnij się, że otrzymasz najlepszą ofertę, korzystając z naszego specjalnego kuponu Siteground.

[Powrót do góry ↑]

Zabezpieczenia WordPress w kilku prostych krokach (bez kodowania)

Wiemy, że poprawa zabezpieczeń WordPressa może być przerażającą myślą dla początkujących, zwłaszcza jeśli nie jesteś technikiem. Zgadnij co – nie jesteś sam.

Pomogliśmy tysiącom użytkowników WordPressa w wzmocnieniu ich zabezpieczeń.

Pokażemy Ci, jak możesz poprawić swoje zabezpieczenia WordPress za pomocą kilku kliknięć (bez konieczności kodowania).

Jeśli potrafisz wskazywać i klikać, możesz to zrobić!

1. Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

WordPress Backup

Kopie zapasowe są twoją pierwszą obroną przed atakami na WordPressa. Pamiętaj, że nic nie jest w 100% zabezpieczone. Jeśli rządowe witryny internetowe mogą zostać zhakowane, to twoja również.

Kopie zapasowe pozwalają szybko przywrócić twoją witrynę WordPress na wypadek, gdyby wydarzyło się coś złego.

Istnieje wiele darmowych i płatnych wtyczek do tworzenia kopii zapasowych WordPress. Najważniejszą rzeczą, którą musisz wiedzieć, jeśli chodzi o kopie zapasowe, jest to, że musisz regularnie zapisywać kopie zapasowe całej witryny w zdalnej lokalizacji (nie na twoim koncie hostingowym).

Zalecamy przechowywanie ich w chmurze, takiej jak Amazon, Dropbox lub w chmurze prywatnej, takiej jak Stash.

W zależności od tego, jak często aktualizujesz swoją witrynę internetową, idealnym ustawieniem może być tworzenie kopii zapasowych raz dziennie lub w czasie rzeczywistym.

Na szczęście można to łatwo zrobić za pomocą wtyczek takich jak Duplicator, UpdraftPlus lub BlogVault. Są one niezawodne i co najważniejsze łatwe w użyciu (nie wymagają kodowania).

Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem na temat tworzenia kopii zapasowych twojej witryny internetowej WordPress.

[Powrót do góry ↑]

Zainstaluj renomowaną wtyczkę do zabezpieczeń WordPressa

Po utworzeniu kopii zapasowych, następną rzeczą, którą musimy zrobić, jest skonfigurowanie systemu audytu i monitorowania, który śledzi wszystko, co dzieje się na twojej witrynie internetowej.

Obejmuje to monitorowanie integralności plików, nieudane próby logowania, skanowanie złośliwego oprogramowania i inne.

Na szczęście można łatwo o to zadbać, instalując jedną z najlepszych wtyczek zabezpieczeń WordPress, takich jak Sucuri.

Musisz zainstalować i włączać darmową wtyczkę Sucuri Security. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku, jak zainstalować wtyczkę WordPress.

Teraz możesz przejść do kokpitu Sucuri Security „, aby sprawdzić, czy wtyczka znalazła jakieś bezpośrednie problemy z twoim kodem WordPress.

Setting up the Sucuri WordPress security plugin

Następną rzeczą, którą musisz zrobić, jest przejście do strony Sucuri Security ” Ustawienia i kliknięcie karty „Utwardzanie”.

Domyślne ustawienia działają dobrze dla większości witryn internetowych, więc można je włączać, klikając przycisk „Zastosuj utwardzanie” dla każdej opcji.

Hardening your WordPress blog or website

Pomaga to zablokować kluczowe obszary, które hakerzy często wykorzystują w swoich atakach.

Wskazówka: W dalszej części tego artykułu omówimy dalsze sposoby zabezpieczenia twojej witryny internetowej, takie jak zmiana prefiksu bazy danych i nazwy użytkownika administratora. Są one jednak bardziej techniczne i mogą wymagać wiedzy z zakresu kodowania.

Po części hartowania, inne domyślne ustawienia wtyczki są wystarczająco dobre dla większości witryn internetowych i nie wymagają żadnych zmian.

Jedyną rzeczą, którą zalecamy dostosować, są powiadomienia e-mail, które można znaleźć na karcie „Alerty” na stronie ustawień.

Customizing your website's security alerts

Domyślnie będziesz otrzymywać wiele powiadomień e-mail, które mogą zaśmiecać twoją skrzynkę odbiorczą.

Zalecamy włączanie alertów tylko dla kluczowych działań, o których chcesz być powiadamiany, takich jak zmiany wtyczek i rejestracje nowych użytkowników.

Customizing your WordPress security notifications

Ta wtyczka zabezpieczająca WordPress jest bardzo potężna, więc przejrzyj wszystkie karty i ustawienia, aby zobaczyć wszystko, co robi, takie jak skanowanie złośliwego oprogramowania, dzienniki audytu, śledzenie nieudanych prób logowania i wiele innych.

Więcej informacji można znaleźć w naszej szczegółowej recenzji Sucuri.

Włączenie zapory aplikacji sieci Web (WAF)

Najprostszym sposobem na zabezpieczenie witryny i uzyskanie pewności co do bezpieczeństwa WordPressa jest użycie zapory aplikacji internetowej (WAF).

Zapora witryny internetowej blokuje cały złośliwy ruch, zanim jeszcze dotrze on do twojej witryny.

  • Zapora sieciowa na poziomie DNS kieruje ruch Twojej witryny internetowej przez serwery proxy w chmurze. Pozwala to na wysyłanie tylko prawdziwego ruchu do twojego serwera WWW.
  • Zapora na poziomie aplikacji sprawdza ruch po dotarciu do twojego serwera, ale przed wczytywaniem większości skryptów WordPress. Ta metoda nie jest tak skuteczna jak zapora na poziomie DNS w zmniejszaniu wczytywania ruchu na serwerze.

Aby dowiedzieć się więcej, zapoznaj się z naszą listą najlepszych wtyczek WordPress do zapory sieciowej.

How website firewall blocks attacks

Używaliśmy Sucuri na WPBeginner przez wiele lat i nadal polecamy go jako jedną z najlepszych zapór aplikacji internetowych dla WordPress. Niedawno przeszliśmy z Sucuri na Cloudflare, ponieważ potrzebowaliśmy większej sieci CDN z funkcjami, które koncentrowały się bardziej na klientach korporacyjnych.

Możesz przeczytać o tym, jak Sucuri pomogło nam zablokować 450 000 ataków WordPress w ciągu miesiąca.

Attacks blocked by Sucuri

Najlepszą częścią zapory Sucuri jest to, że jest ona również objęta gwarancją usuwania złośliwego oprogramowania i czarnych list. Oznacza to, że jeśli zostaniesz zhakowany pod ich nadzorem, gwarantują poprawkę twojej witryny internetowej, bez względu na to, ile masz stron.

Jest to dość mocna gwarancja, ponieważ naprawa zhakowanych witryn internetowych jest kosztowna. Eksperci ds. zabezpieczeń zwykle pobierają ponad 250 USD za godzinę, podczas gdy cały stos zabezpieczeń Sucuri można uzyskać za 199 USD za cały rok.

Biorąc to pod uwagę, Sucuri nie jest jedynym dostawcą zapór na poziomie DNS. Innym popularnym konkurentem jest Cloudflare. Zobacz nasze porównanie Sucuri vs. Cloudflare (Plusy i minusy).

[Powrót do góry ↑]

Przenieś swoją witrynę WordPress na SSL/HTTPS

SSL (Secure Sockets Layer) to protokół, który szyfruje transfer danych między twoją witryną internetową a przeglądarką użytkownika. To szyfrowanie utrudnia komuś podsłuchiwanie i kradzież informacji.

How SSL Works

Po włączeniu protokołu SSL adres Twojej witryny internetowej będzie korzystał z protokołu HTTPS zamiast HTTP. Zobaczysz również kłódkę lub podobną ikonkę obok adresu twojej witryny internetowej w przeglądarce.

Certyfikaty SSL są zazwyczaj wydawane przez urzędy certyfikacji, a ich ceny zaczynają się od 80 do setek dolarów rocznie. Ze względu na dodatkowe koszty, większość właścicieli witryn internetowych w przeszłości decydowała się na dalsze korzystanie z niezabezpieczonego protokołu.

Aby to poprawić, organizacja non-profit o nazwie Let’s Encrypt postanowiła zaoferować właścicielom witryn internetowych bezpłatne certyfikaty SSL. Ich projekt jest wspierany przez Google Chrome, Facebooka, Mozillę i wiele innych firm.

Rozpoczęcie korzystania z SSL dla wszystkich twoich witryn internetowych WordPress jest łatwiejsze niż kiedykolwiek. Wiele firm hostingowych oferuje obecnie bezpłatny certyfikat SSL dla twojej witryny internetowej WordPress.

Jeśli twoja firma hostingowa nie oferuje takiego certyfikatu, możesz kupić certyfikat SSL od Domain.com. Mają najlepsze i najbardziej niezawodne oferty SSL na rynku. Certyfikat jest objęty gwarancją bezpieczeństwa w wysokości 10 000 USD i pieczęcią TrustLogo.

Jeśli robisz wszystko, o czym wspomnieliśmy do tej pory, to jesteś w całkiem dobrej formie.

Ale jak zawsze, jest więcej rzeczy, które możesz zrobić, aby wzmocnić swoje zabezpieczenia WordPress.

Należy pamiętać, że niektóre z tych kroków mogą wymagać znajomości kodowania.

Zmiana domyślnej nazwy użytkownika administratora

W dawnych czasach domyślną nazwą użytkownika administratora WordPress był „admin”. Ponieważ nazwy użytkowników stanowią połowę danych uwierzytelniających logowanie, ułatwiało to hakerom przeprowadzanie ataków typu brute-force.

Na szczęście WordPress zmienił to i teraz wymaga wybrania własnej nazwy użytkownika podczas instalacji WordPressa.

Jednak niektóre instalatory WordPress 1-click nadal ustawiają domyślną nazwę użytkownika administratora na „admin”. Jeśli powiadomienie o tym ma miejsce, to prawdopodobnie dobrym pomysłem jest zmiana twojego hostingu.

Ponieważ WordPress domyślnie nie pozwala na zmianę nazwy użytkownika, istnieją trzy metody zmiany nazwy użytkownika.

  1. Utwórz nową nazwę administratora i usuń starą.
  2. Użyj wtyczki Username Changer
  3. Aktualizacja nazwy użytkownika z phpMyAdmin

Wszystkie trzy omówiliśmy w naszym szczegółowym przewodniku na temat tego, jak prawidłowo zmienić twoją nazwę użytkownika WordPress.

Uwaga: Dla jasności, mówimy o zmianie nazwy użytkownika o nazwie „admin”, a nie roli użytkownika administratora, która jest również czasami nazywana „admin”.

[Powrót do góry ↑]

Wyłączanie edycji plików

WordPress posiada wbudowany edytor kodu, który umożliwia edycję twojego motywu i plików wtyczek bezpośrednio z obszaru administracyjnego WordPress.

W niepowołanych rękach funkcja ta może stanowić zagrożenie dla zabezpieczeń, dlatego zalecamy jej wyłączenie.

Adding custom CSS in a child theme's stylesheet in the theme file editor

Możesz to łatwo zrobić, dodając poniższy kod do twojego pliku wp-config.php lub za pomocą wtyczki fragmentu kodu, takiej jak WPCode (zalecane):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Jak to zrobić krok po kroku pokazujemy w naszym przewodniku na temat wyłączania edytorów motywów i wtyczek z panelu administracyjnego WordPress.

Alternatywnie można to zrobić jednym kliknięciem, korzystając z funkcji Hardening we wspomnianej wyżej darmowej wtyczce Sucuri.

[Powrót do góry ↑]

Wyłączanie wykonywania plików PHP w niektórych katalogach WordPressa

Innym sposobem na zabezpieczenie twojego WordPressa jest wyłączenie wykonywania plików PHP w katalogach, w których nie jest to potrzebne, takich jak /wp-content/uploads/.

Możesz to zrobić, otwierając edytor tekstu, taki jak Notatnik i wklejając ten kod:

<Files *.php>
deny from all
</Files>

Następnie musisz zapisać ten plik jako .htaccess i przesłać go do katalogu /wp-content/uploads/ na twojej witrynie internetowej za pomocą klienta FTP.

Aby uzyskać bardziej szczegółowe wyjaśnienie, zapoznaj się z naszym przewodnikiem na temat wyłączania wykonywania PHP w niektórych katalogach WordPress.

Alternatywnie można to zrobić jednym kliknięciem, korzystając z funkcji Hardening w darmowej wtyczce Sucuri, o której wspomnieliśmy powyżej.

[Powrót do góry ↑]

Ograniczenie prób logowania

Domyślnie WordPress pozwala użytkownikom próbować logować się dowolną liczbę razy. To sprawia, że twoja witryna WordPress jest podatna na ataki typu brute-force. Polegają one na tym, że hakerzy próbują złamać hasła, próbując logować się przy użyciu różnych kombinacji.

Poprawkę można łatwo naprawić, ograniczając liczbę nieudanych prób logowania użytkownika. Jeśli korzystasz ze wspomnianej wcześniej zapory sieciowej, jest to automatycznie rozwiązywane.

Jeśli jednak nie masz skonfigurowanej zapory, możesz wykonać poniższe czynności.

Najpierw należy zainstalować i włączyć darmową wtyczkę Limit Login Attempts Reloaded. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.

Po włączaniu wtyczka zacznie ograniczać liczbę prób logowania podejmowanych przez użytkowników.

Domyślne ustawienia będą działać dla większości witryn internetowych, jednak można je dostosować, przechodząc na stronę Ustawienia ” Ogranicz próby logowania i klikając kartę „Ustawienia” u góry. Na przykład, aby zachować zgodność z przepisami RODO, możesz kliknąć pole wyboru „Zgodność z RODO”.

Limit Login Attempts

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat tego, jak i dlaczego powinieneś ograniczyć próby logowania w WordPress.

[Powrót do góry ↑]

Dodaj uwierzytelnianie dwuskładnikowe (2FA)

Metoda uwierzytelniania dwuskładnikowego wymaga 2 różnych kroków, aby użytkownicy mogli się logować:

  1. Pierwszym krokiem jest podanie nazwy użytkownika i hasła.
  2. Drugi krok wymaga użycia kodu z twojego urządzenia lub aplikacji, do której hakerzy nie mają dostępu, np. smartfona.

Większość czołowych witryn internetowych, takich jak Google, Facebook i Twitter, umożliwia włączenie tej funkcji dla twojego konta. Możesz również dodać tę samą funkcjonalność do twojej witryny WordPress.

Najpierw należy zainstalować i włączyć wtyczkę WP 2FA – Two-factor Authentication. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.

Przyjazny dla użytkownika kreator pomoże skonfigurować wtyczkę, a następnie otrzymasz kod QR.

Use Your Authenticator App to Scan the QR Code

Będziesz musiał zeskanować kod QR za pomocą aplikacji uwierzytelniającej na twoim telefonie, takiej jak Google Authenticator, Authy i LastPass Authenticator.

Zalecamy korzystanie z LastPass Authenticator lub Authy, ponieważ umożliwiają one tworzenie kopii zapasowych twoich kont w chmurze. Jest to bardzo przydatne w przypadku zgubienia, zresetowania lub zakupu nowego telefonu. Wszystkie twoje loginy do kont zostaną łatwo przywrócone.

Większość z tych aplikacji działa w podobny sposób, a jeśli korzystasz z Authy, po prostu kliknij przycisk „+” lub „Dodaj konto” w aplikacji uwierzytelniającej.

Click the + Button to Add an Account

Umożliwi to zeskanowanie kodu QR na twoim komputerze za pomocą aparatu w telefonie. Konieczne może być najpierw zezwolenie aplikacji na dostęp do aparatu.

Po nadaniu nazwy konta można je zapisać.

Następnym razem, gdy będziesz logować się do swojej witryny internetowej, po wpiszeniu hasła zostaniesz poproszony o podanie kodu uwierzytelniania dwuskładnikowego.

Users Must Enter an Authentication Code Before Logging In

Po prostu otwórz aplikację uwierzytelniającą na twoim telefonie, a zobaczysz jednorazowy kod.

Następnie możesz wpisz kod na swojej witrynie internetowej, aby dokończyć logowanie się.

Find Your 2FA Token

[Powrót do góry ↑]

Zmiana prefiksu bazy danych WordPress

Domyślnie WordPress używa wp_ jako przedrostka dla wszystkich tabel w twojej bazie danych WordPress.

Jeśli twoja witryna WordPress używa domyślnego prefiksu bazy danych, hakerom łatwiej jest odgadnąć nazwę twojej tabeli. Dlatego zalecamy jego zmianę.

Możesz zmienić swój prefiks bazy danych, postępując zgodnie z naszym poradnikiem krok po kroku, jak zmienić prefiks bazy danych WordPress w celu poprawy zabezpieczeń.

Uwaga: Zmiana prefiksu bazy danych może zepsuć twoją witrynę, jeśli nie zostanie wykonana prawidłowo. Zrób to tylko wtedy, gdy czujesz się komfortowo z twoimi umiejętnościami kodowania.

[Powrót do góry ↑]

Zabezpieczona hasłem strona administratora i logowania WordPressa

Password protect WordPress admin example

Zwykle hakerzy mogą zażądać twojego katalogu wp-admin i strony logowania bez żadnych ograniczeń. Pozwala im to wypróbować swoje sztuczki hakerskie lub przeprowadzić ataki DDoS.

Można dodać dodatkowe zabezpieczenie hasłem po stronie serwera, co skutecznie zablokuje te żądania.

Wystarczy postępować zgodnie z naszymi instrukcjami krok po kroku, jak zabezpieczyć hasłem twój katalog administracyjny WordPress (wp-admin).

[Powrót do góry ↑]

Wyłącz indeksowanie i przeglądanie katalogów

Directory Browsing

Po wpisaniu adresu jednego z katalogów twojej witryny internetowej w przeglądarce internetowej, zostanie wyświetlona strona internetowa o nazwie index.html, jeśli istnieje. Jeśli nie istnieje, zamiast tego zostanie wyświetlona lista plików w tym katalogu. Jest to znane jako przeglądanie katalogów.

Przeglądanie katalogów może być wykorzystywane przez hakerów, aby dowiedzieć się, czy masz jakieś pliki ze znanymi lukami w zabezpieczeniach, aby mogli wykorzystać te pliki w celu uzyskania dostępu.

Przeglądanie katalogów może być również wykorzystywane przez inne osoby do przeglądania twoich plików, kopiowania obrazków, poznawania struktury katalogów i innych informacji. Dlatego zaleca się wyłączenie indeksowania i przeglądania katalogów.

Musisz połączyć się ze swoją witryną internetową za pomocą FTP lub menedżera plików dostawcy hostingu. Następnie zlokalizuj plik . htaccess w katalogu głównym twojej witryny internetowej. Jeśli go tam nie widzisz, zapoznaj się z naszym przewodnikiem na temat tego, dlaczego nie widzisz pliku .htaccess w WordPress.

Następnie należy dodać następującą linię na końcu pliku .htaccess:

Opcje -Indeksy

Nie zapomnij zapisać i przesłać pliku .htaccess z powrotem na twoją witrynę.

Więcej informacji na ten temat można znaleźć w naszym artykule na temat wyłączania przeglądania katalogów w WordPress.

[Powrót do góry ↑]

Wyłączanie XML-RPC w WordPress

XML-RPC to rdzeń API WordPressa, który pomaga połączyć twoją witrynę WordPress z aplikacjami internetowymi i mobilnymi. Jest domyślnie włączony od wersji WordPress 3.5.

Jednak ze względu na swój potężny charakter, XML-RPC może znacznie wzmocnić ataki typu brute-force.

Na przykład, jeśli haker tradycyjnie chciałby wypróbować 500 różnych haseł na twojej witrynie internetowej, musiałby wykonać 500 oddzielnych prób logowania. Może to zostać wychwycone i zablokowane przez wtyczkę Limit Login Attempts Reloaded.

Ale w przypadku XML-RPC haker może użyć funkcji system.multicall, aby wypróbować tysiące haseł za pomocą powiedzmy 20 lub 50 żądań.

Dlatego jeśli nie korzystasz z XML-RPC, zalecamy jego wyłączenie.

Istnieją 3 sposoby na wyłączenie XML-RPC w WordPress i omówiliśmy je wszystkie w naszym poradniku krok po kroku, jak wyłączyć XML-RPC w WordPress.

Wskazówka: Metoda .htaccess jest najlepsza, ponieważ wymaga najmniej zasobów. Pozostałe metody są łatwiejsze dla początkujących.

Alternatywnie, jest to załatwiane automatycznie, jeśli korzystasz z zapory aplikacji internetowej (WAF), jak wspomnieliśmy wcześniej.

[Powrót do góry ↑]

Automatyczne logowanie się bezczynnych użytkowników w WordPressie

Logujący się użytkownicy mogą czasem odejść od ekranu, co stanowi zagrożenie dla zabezpieczeń. Ktoś może przejąć ich sesję, zmienić hasła lub wprowadzić zmiany na ich koncie.

Dlatego też wiele witryn bankowych i finansowych automatycznie loguje się nieaktywnego użytkownika. Podobną funkcjonalność możesz skonfigurować również na twojej witrynie WordPress.

Należy zainstalować i włączyć wtyczkę Inactive Logout. Po włączaniu przejdź na stronę Ustawienia „ Nieaktywne wylogowanie, aby dostosować ustawienia wylogowania.

Logout idle users

Wystarczy ustawić czas trwania i dodać komunikat wylogowania. Następnie nie zapomnij kliknąć przycisku „Zapisz zmiany” u dołu strony, aby zapisać twoje ustawienia.

Aby uzyskać instrukcje krok po kroku, zapoznaj się z naszym przewodnikiem na temat automatycznego logowania się bezczynnych użytkowników w WordPress.

[Powrót do góry ↑]

Dodawanie pytań dotyczących zabezpieczeń do ekranu logowania WordPressa

Dodanie pytania zabezpieczającego do twojego ekranu logowania do WordPressa jeszcze bardziej utrudnia komuś uzyskanie nieautoryzowanego dostępu.

Pytania dotyczące zabezpieczeń można dodać instalując wtyczkę Two Factor Authentication. Po włączaniu należy przejść na stronę Multi-factor Authentication ” Two Fact or, aby skonfigurować ustawienia wtyczki.

Umożliwi to dodanie różnego rodzaju uwierzytelniania dwuskładnikowego do twojej witryny, w tym pytań dotyczących zabezpieczeń.

Adding Security Questions to WordPress Login

Aby uzyskać bardziej szczegółowe instrukcje, zapoznaj się z naszym poradnikiem na temat dodawania pytań dotyczących zabezpieczeń do ekranu logowania WordPress.

[Powrót do góry ↑]

Skanowanie WordPress pod kątem złośliwego oprogramowania i luk w zabezpieczeniach

Malware Scan

Jeśli masz zainstalowaną wtyczkę bezpieczeństwa WordPress, będzie ona rutynowo sprawdzać złośliwe oprogramowanie i oznaki naruszenia zabezpieczeń.

Jeśli jednak zauważysz nagły spadek ruchu na witrynie internetowej lub w rankingach wyszukiwania, możesz chcieć ręcznie przeskanować witrynę w poszukiwaniu złośliwego oprogramowania. Możesz to zrobić za pomocą twojej wtyczki bezpieczeństwa WordPress lub jednego z najlepszych skanerów złośliwego oprogramowania i zabezpieczeń.

Skanowanie online jest dość proste. Po prostu wpisz adres URL swojej witryny internetowej, a ich roboty indeksujące przejdą przez witrynę w poszukiwaniu znanego złośliwego oprogramowania i złośliwego kodu.

Należy pamiętać, że większość skanerów zabezpieczeń WordPress może jedynie ostrzegać, jeśli twoja witryna zawiera złośliwe oprogramowanie. Nie mogą usuwać złośliwego oprogramowania ani czyścić zhakowanej witryny WordPress.

To prowadzi nas do następnej sekcji, czyszczenia złośliwego oprogramowania i zhakowanych witryn WordPress.

[Powrót do góry ↑]

Poprawka zhakowanej witryny WordPress

Wielu importerów WordPressa nie zdaje sobie sprawy ze znaczenia kopii zapasowych i zabezpieczeń witryny internetowej, dopóki ich witryna nie zostanie zhakowana.

Hakerzy instalują backdoory na witrynach, które mają na to wpływ, a jeśli te backdoory nie zostaną poprawnie naprawione, twoja witryna internetowa prawdopodobnie zostanie ponownie zhakowana.

Dla odważnych i majsterkowiczów przygotowaliśmy przewodnik krok po kroku, jak poprawić zhakowaną witrynę WordPress.

Jednak czyszczenie witryny WordPress może być bardzo trudne i czasochłonne. Nasza rada jest taka, by zlecić to profesjonalistom.

Jeśli płacisz za korzystanie z wtyczki zabezpieczeń Sucuri, o której wspomnieliśmy powyżej, naprawa witryny po włamaniu jest wliczona w cenę.

Można również skorzystać z usługi naprawy zhakowanej witryny WPBeginner Pro Services. Wymaga to jednorazowej płatności w wysokości 249 USD i obejmuje ustalanie plików premium, usuwanie złośliwego kodu, aktualizacje oprogramowania i zabezpieczeń oraz wyczyszczoną kopię zapasową witryny.

WPBeginner Pro Services Hacked Site Repair

Gwarantujemy poprawkę Twojej witryny lub zwrot pieniędzy. Obejmujemy również Twoją witrynę internetową przez 30 dni po naprawie, więc jeśli zostaniesz ponownie zhakowany w tym czasie, będziemy tam, aby to poprawić.

Zajmujemy się czyszczeniem i zabezpieczaniem witryn internetowych WordPress od ponad 10 lat, więc korzystając z naszej usługi naprawy zhakowanych witryn, będziesz mieć spokój ducha.

[Powrót do góry ↑]

Dodatkowa wskazówka: Zatrudnij usługę konserwacji WordPressa

Jako zapracowany właściciel małej firmy możesz nie mieć czasu na monitorowanie bezpieczeństwa twojej witryny internetowej i zabezpieczenie jej przed lukami w zabezpieczeniach. Tak więc, aby uspokoić twój umysł i zmniejszyć obciążenie pracą, możesz wynająć usługę konserwacji WordPress do całodobowego monitorowania zabezpieczeń.

WPBeginner Pro Services oferuje kompleksową obsługę witryny internetowej WordPress w przystępnej cenie. Obejmuje ona monitorowanie zabezpieczeń, rutynowe tworzenie kopii zapasowych w chmurze, aktualizacje WordPress, monitorowanie czasu pracy i wiele więcej.

WPBeginner WordPress website maintenance service

Po prostu wybierz miesięczny pakiet usług serwisowych, który odpowiada Twoim potrzebom, a otrzymasz bardziej zabezpieczoną witrynę WordPress i dodatkowy wolny czas na pracę nad innymi aspektami Twojej firmy.

Jeśli chcesz poznać inne rekomendacje, zapoznaj się z naszymi typami najlepszych usług utrzymania witryn internetowych dla WordPress.

[Powrót do góry ↑]

Najczęściej zadawane pytania dotyczące bezpieczeństwa WordPress

Ponieważ bezpieczeństwo WordPressa jest tak ważne, regularnie otrzymujemy pytania na ten temat. Oto odpowiedzi na najczęściej zadawane pytania dotyczące ochrony witryn WordPress przed atakami.

Czy WordPress jest bezpieczny w użyciu?

WordPress został zaprojektowany z myślą o bezpieczeństwie, zwłaszcza jeśli jest regularnie aktualizowany. Jednakże, ponieważ jest on tak popularny, hakerzy często atakują witryny WordPress.

Nie martw się jednak. Postępując zgodnie z prostymi wskazówkami dotyczącymi bezpieczeństwa, takimi jak te w tym artykule, możesz znacznie zmniejszyć szanse na włamanie się do Twojej witryny.

Co może narazić moją witrynę WordPress na ryzyko?

Istnieją różne sposoby, w jakie hakerzy próbują uzyskać dostęp do stron internetowych. Niektóre z typowych zagrożeń obejmują odgadywanie haseł, instalowanie szkodliwego oprogramowania (malware) i znajdowanie słabych punktów w kodzie witryny w celu kradzieży informacji lub przejęcia kontroli.

Jak często należy aktualizować witrynę WordPress?

Aktualizowanie witryny WordPress, motywów i wtyczek jest bardzo ważne. Nowe aktualizacje często zawierają poprawki problemów bezpieczeństwa. Staraj się korzystać z automatycznych aktualizacji lub sprawdzaj aktualizacje samodzielnie przynajmniej raz w tygodniu i szybko je instaluj.

Czy potrzebuję specjalnej wtyczki dla bezpieczeństwa?

Nie musisz korzystać z wtyczek bezpieczeństwa, ale mogą one uczynić Twoją witrynę znacznie bezpieczniejszą. Wtyczki bezpieczeństwa działają jak dodatkowi strażnicy witryny, chroniąc ją przed hakerami i złośliwym oprogramowaniem.

Skąd mam wiedzieć, czy ktoś włamał się na moją stronę?

Jeśli zauważysz, że w Twojej witrynie dzieją się dziwne rzeczy, może to oznaczać, że padłeś ofiarą hakerów. Może to obejmować pojawienie się nowych użytkowników lub plików, których nie utworzyłeś, wysyłanie odwiedzających do różnych witryn, powolne działanie witryny lub otrzymywanie ostrzeżeń od Google lub dostawcy hostingu.

Co powinienem zrobić, jeśli moja witryna zostanie zhakowana?

Jeśli uważasz, że Twoja witryna została zhakowana, nie panikuj, ale działaj szybko. Możesz skontaktować się z firmą hostingową i poprosić o pomoc. Możesz także użyć wtyczki bezpieczeństwa lub poprosić eksperta ds. bezpieczeństwa o wyczyszczenie witryny.

Jeśli masz kopię zapasową swojej witryny, przywróć ją z tej kopii zapasowej. Pamiętaj, aby zmienić wszystkie hasła, w tym hasła do obszaru administracyjnego WordPress, bazy danych i FTP.

Mamy nadzieję, że ten artykuł pomógł Ci poznać najlepsze praktyki w zakresie ochrony Twojej witryny i naszą zalecaną listę kontrolną bezpieczeństwa WordPress. Warto również zapoznać się z naszą listą najważniejszych powodów, dla których witryny WordPress są hakowane, a także z naszymi eksperckimi propozycjami najlepszych wtyczek zabezpieczających WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

Najlepszy zestaw narzędzi WordPress

Uzyskaj BEZPŁATNY dostęp do naszego zestawu narzędzi - zbiór produktów i zasobów związanych z WordPressem, które każdy profesjonalista powinien mieć!

Ujawnienie: Nasze treści są wspierane przez czytelników. Oznacza to, że jeśli klikniesz na niektóre z naszych linków, możemy otrzymać prowizję. Zobacz jak WPBeginner jest finansowany, dlaczego to ma znaczenie i jak możesz nas wspierać. Oto nasz proces redakcyjny.

163 komentarzeZostaw odpowiedź

  1. Leanne

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

    • WPBeginner Support

      You’re welcome and glad you’ve found our content helpful :)

      Administrator

  2. Daniel

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

    • WPBeginner Support

      You’re welcome :)

      Administrator

  3. Power

    Thanks for the article, its really useful

    • WPBeginner Support

      You’re welcome :)

      Administrator

  4. Mydas

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ Wordpress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      Administrator

  5. Splendor Edesiri

    Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.

    • WPBeginner Support

      No, that is not required

      Administrator

  6. Kam

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

    • WPBeginner Support

      While some hosts offer backups, we still recommend creating your own backups for safety

      Administrator

  7. Kyle B.

    Changing the database prefix won’t make any difference. Other than that, not a bad article.

    • WPBeginner Support

      Thanks for sharing your opinion and glad you liked our article :)

      Administrator

  8. kalmoa

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about 'Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

    • WPBeginner Support

      Thank you for sharing this for the users who specifically are using Nginx for their site.

      Administrator

  9. Tom

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

  10. Kartik Satija

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

    • WPBeginner Support

      Glad you found our guide helpful :)

      Administrator

  11. MIMIFTAH

    Very Informative content. Thanks

    • WPBeginner Support

      You’re welcome :)

      Administrator

  12. Liz

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    • WPBeginner Support

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      Administrator

  13. Gary Starling

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

    • WPBeginner Support

      You’re welcome, glad our article could be helpful :)

      Administrator

  14. Andrei

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    • WPBeginner Support

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      Administrator

      • Andrei

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

  15. Peter

    Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      Administrator

  16. Aqib khan

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

    • WPBeginner Support

      Thank you, glad you’ve enjoyed our content :)

      Administrator

  17. mahmoud

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

  18. Krishna

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

    • WPBeginner Support

      You’re welcome, glad our article was helpful :)

      Administrator

  19. Kushal

    I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.

  20. Leighann

    This was SO helpful. Thanks for the information and saving me so much time!

    • WPBeginner Support

      You’re welcome, glad our guide could be helpful :)

      Administrator

  21. Dietrich

    Hi

    Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.

    • WPBeginner Support

      We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.

      Administrator

  22. Yiannis Christodoulou

    Very helpful article.
    Thank you for sharing.

    • WPBeginner Support

      You’re welcome, glad our article could help :)

      Administrator

  23. Steve Schultz

    Your free Sucuri Security plugin link is broken … 404 error.

    • WPBeginner Support

      Thanks for letting us know, the link should be fixed :)

      Administrator

  24. Monty parihar

    Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.

    • WPBeginner Support

      You’re welcome :)

      Administrator

  25. Melvin Adame

    Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.

    • WPBeginner Support

      Thank you, glad you like our content :)

      Administrator

    • WPBeginner Support

      You’re welcome :)

      Administrator

  26. Mark Bunner

    Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.

    • WPBeginner Support

      Thank you, glad you like our recommendations :)

      Administrator

  27. Chukwuemeka Ebuka

    Am very grateful for this article, all thanks to wpbeginner.com.

    • WPBeginner Support

      You’re welcome, glad our article could be helpful :)

      Administrator

  28. Heidi

    Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under 'directory privacy’), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin :(

    • WPBeginner Support

      If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement

      Administrator

      • Heidi

        Ok great thanks, I’ll try that.

  29. Julian Song

    Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.

    • WPBeginner Support

      Thank you for your kind words and sharing our articles :)

      Administrator

    • WPBeginner Support

      You’re welcome, glad our guide could be helpful :)

      Administrator

  30. Shiva Prasad

    Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.

    • WPBeginner Support

      Glad our guides could help you :)

      Administrator

  31. Majid

    Hi,

    I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?

    P.S at the right top corner I could see Howdy, my name…does that mean is that my username?

    I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.

    Please help.

    • WPBeginner Support

      That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.

      Administrator

  32. Terence Vickers

    You may have a typo in the XML-RPC section which is a bit confusing.
    Presently reads: „This is why if you’re not using XML-RPC, then we recommend that you disable it.”

    If I’m not using i There would likely be no way to disable it.

    • WPBeginner Support

      Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that :)

      Administrator

  33. Syed Gallani

    I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?

    • WPBeginner Support

      It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.

      Administrator

  34. David Anozie

    A big thank you! Your the boss.

    • WPBeginner Support

      Thank you for being one of our readers :)

      Administrator

  35. Nick

    Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?

    • WPBeginner Support

      No, it would only mean those search crawlers would not look at your site.

      Administrator

  36. 寒星

    It’s turely helpful to maintaining WP. I love it and thank you so much.

    • WPBeginner Support

      You’re welcome, glad our article was helpful :)

      Administrator

  37. peg

    i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.

    • WPBeginner Support

      You’re welcome, glad our guide can help :)

      Administrator

  38. Jeff Moyer

    Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.

    • WPBeginner Support

      You’re welcome, glad you liked our article :)

      Administrator

  39. Tanmay Kapse

    An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work

    • WPBeginner Support

      Thank you, glad you liked our content :)

      Administrator

  40. Sunny Chawla

    Much obliged to you for supportive page improve my site

    • WPBeginner Support

      Glad our guide could be helpful :)

      Administrator

  41. Santhosh Naikar

    What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?

    • WPBeginner Support

      Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.

      Administrator

  42. steven suslick

    I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?

    • WPBeginner Support

      Those pages are from users using the search on your site, for the second someone searched for the word dox :)

      Administrator

  43. Emmanuel Ikechukwu

    This is the best wordpress online tutor i have come across so far.

    • WPBeginner Support

      Glad our articles are helpful :)

      Administrator

  44. Bobbie Camp

    Found this article to be very helpful. I am very new and not „techy” and need all the assistance I can get. Appreciate your easy to read instructions.

    • WPBeginner Support

      Glad our articles could help :)

      Administrator

    • WPBeginner Support

      You’re welcome :)

      Administrator

  45. NICHOLAS AMOL GOMES

    Thank you for helpful page improve my site

    • WPBeginner Support

      You’re welcome :)

      Administrator

  46. Brad Vincent

    Hey guys,

    I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!

    I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.

    Awesome work and much appreciated.

    • WPBeginner Support

      Thank you, glad you find our articles helpful :)

      Administrator

  47. Brian

    What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?

    • WPBeginner Support

      We would recommend only one at a time to prevent conflicts between the plugins.

      Administrator

    • Mark

      I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.

Zostaw odpowiedź

Dziękujemy za pozostawienie komentarza. Pamiętaj, że wszystkie komentarze są moderowane zgodnie z naszymi polityka komentarzy, a Twój adres e-mail NIE zostanie opublikowany. NIE używaj słów kluczowych w polu nazwy. Przeprowadźmy osobistą i konstruktywną rozmowę.