Skąd wiesz, czy twoja witryna internetowa jest zabezpieczona? Czy chciałbyś przeprowadzić dokładny audyt zabezpieczeń, aby się tego dowiedzieć?
WordPress jest bardzo dobrze zabezpieczony od razu po wyjęciu z pudełka. Jeśli jednak podejrzewasz, że coś jest nie tak, audyt zabezpieczeń może pomóc Ci zidentyfikować problemy, którymi musisz się zająć.
W tym artykule pokażemy, jak łatwo przeprowadzić audyt zabezpieczeń WordPress bez wyłączania twojej witryny.
Czym jest audyt zabezpieczeń WordPress?
Przeprowadzenie audytu bezpieczeństwa w witrynie internetowej WordPress oznacza sprawdzenie Twojej witryny pod kątem oznak naruszenia zabezpieczeń. Możesz przeprowadzić kontrolę WordPress w poszukiwaniu podejrzanych włączeń, złośliwego kodu lub nietypowego spadku wydajności.
Pokażemy, jak przeprowadzić podstawowy audyt zabezpieczeń, wykonując proste czynności, które można wykonać ręcznie. Pokażemy również, jak korzystać z narzędzi i usług audytu bezpieczeństwa WordPress, aby automatycznie przeprowadzać kontrole zabezpieczeń.
Jeśli znajdziesz coś podejrzanego, możesz to wyizolować, usuwać i poprawiać.
Kiedy przeprowadzić audyt zabezpieczeń WordPress?
Audyt zabezpieczeń WordPressa należy przeprowadzać co najmniej raz na kwartał. Pozwoli ci to być na bieżąco i wyeliminować luki w zabezpieczeniach, zanim spowodują one jakiekolwiek problemy.
Należy jednak niezwłocznie przeprowadzić audyt zabezpieczeń w przypadku powiadomienia o podejrzanych działaniach, takich jak:
- Twoja witryna internetowa jest nagle powolna i ociężała.
- Obserwujesz spadek ruchu w witrynie internetowej.
- Na twojej witrynie internetowej pojawiają się podejrzane nowe konta, prośby o zapomniane hasło lub próby logowania.
- Na twojej witrynie internetowej pojawiają się podejrzane odnośniki.
Biorąc to pod uwagę, przyjrzyjmy się, jak łatwo przeprowadzić audyt zabezpieczeń WordPress.
Przeprowadzenie podstawowego ręcznego audytu zabezpieczeń WordPressa
Oto lista kontrolna kilku kroków, które możesz wykonać, aby przeprowadzić podstawowy ręczny audyt zabezpieczeń WordPress na twojej witrynie internetowej.
1. Zaktualizuj rdzeń WordPressa, wtyczki i motywy.
Aktualizacje WordPressa są naprawdę ważne dla zabezpieczenia i stabilności twojej witryny internetowej. Usuwają luki w zabezpieczeniach, wprowadzają nowe funkcje i poprawiają wydajność.
Upewnij się, że twoje rdzeń oprogramowania WordPress, wszystkie wtyczki i motywy są aktualne. Możesz to łatwo zrobić, przechodząc na stronę Kokpit ” Aktualizacje w obszarze administracyjnym WordPress.
WordPress sprawdzi, czy dostępne są jakiekolwiek aktualizacje, a następnie wyświetli ich listę do zainstalowania. Jeśli potrzebujesz więcej pomocy, zapoznaj się z naszymi przewodnikami na temat prawidłowej aktualizacji WordPressa i prawidłowej aktualizacji wtyczek WordPress.
2. Sprawdź konta i hasła użytkowników
Następnie należy przejrzeć konta użytkowników WordPressa, przechodząc na stronę Użytkownicy ” Wszyscy użytkownicy. Poszukaj podejrzanych kont użytkowników, których nie powinno tam być.
Jeśli prowadzisz sklep internetowy, witrynę członkowską lub sprzedajesz kursy online, możesz mieć konta użytkowników, na które mogą logować się twoi klienci.
Jeśli jednak prowadzisz bloga lub biznesową witrynę internetową, powinieneś widzieć tylko konta użytkowników dla siebie lub innych użytkowników, których dodałeś ręcznie.
Jeśli zauważysz podejrzane konta użytkowników, musisz je usunąć.
Teraz, jeśli twoja witryna internetowa nie wymaga od użytkowników tworzenia konta, musisz przejść na stronę Ustawienia ” Ogólne i upewnić się, że pole obok opcji „Każdy może się zarejestrować” jest odznaczone.
Dodatkowym środkiem ostrożności jest zmiana Twojego hasła administratora WordPress. Zdecydowanie zalecamy dodanie uwierzytelniania dwuskładnikowego w celu wzmocnienia zabezpieczenia haseł na twojej witrynie.
3. Uruchom skanowanie zabezpieczeń WordPressa
Następnym krokiem jest sprawdzenie twojej witryny internetowej pod kątem luk w zabezpieczeniach. Na szczęście istnieje kilka skanerów zabezpieczeń online, których można użyć do sprawdzenia złośliwego oprogramowania.
Zalecamy korzystanie ze skanera bezpieczeństwa IsItWP, który sprawdza twoją witrynę internetową pod kątem złośliwego oprogramowania i innych luk w zabezpieczeniach.
Narzędzia te są dobre, ale mogą skanować tylko publiczne strony twojej witryny internetowej. W dalszej części artykułu pokażemy, jak przeprowadzić głębsze audyty.
4. Sprawdź analitykę swojej witryny internetowej
Analityka witryny internetowej pomaga śledzić ruch w twojej witrynie. Są one również całkiem dobrym wskaźnikiem kondycji twojej witryny internetowej.
Jeśli twoja witryna została umieszczona na czarnej liście wyszukiwarek, zauważysz nagły spadek ruchu w witrynie internetowej. Jeśli twoja witryna internetowa jest powolna lub nie reaguje, spadnie ogólna liczba zobaczonych stron.
Zalecamy korzystanie z MonsterInsights do śledzenia ruchu na Twojej witrynie internetowej. Pokazuje on nie tylko ogólną liczbę odsłon, ale może być również używany do śledzenia zarejestrowanych użytkowników, twoich klientów WooCommerce, konwersji formularzy i nie tylko.
5. Konfigurowanie i sprawdzanie kopii zapasowych WordPress
Jeśli jeszcze tego nie zrobiłeś, to musisz natychmiast skonfigurować wtyczkę do tworzenia kopii zapasowych WordPress. Dzięki temu zawsze będziesz mieć kopię zapasową twojej witryny na wypadek, gdyby coś poszło nie tak.
Wielu początkujących zapomina o swojej wtyczce do tworzenia kopii zapasowych WordPress po jej skonfigurowaniu. Czasami wtyczki do tworzenia kopii zapasowych mogą przestać działać bez powiadomienia. Dobrym pomysłem jest upewnienie się, że twoja wtyczka do tworzenia kopii zapasowych nadal działa i zapisuje kopie zapasowe.
Przeprowadzanie automatycznego audytu zabezpieczeń WordPressa
Powyższa lista kontrolna pozwala przejść przez najważniejsze aspekty audytu zabezpieczeń. Nie jest to jednak zbyt dokładny proces, co oznacza, że twoja witryna internetowa może być nadal podatna na ataki.
Na przykład, trudno jest prowadzić ręczny rejestr wszystkich działań użytkowników, różnic w plikach, podejrzanych kodów i innych. W tym miejscu potrzebna jest wtyczka do automatyzacji audytu zabezpieczeń i prowadzenia rejestru wszystkiego.
Możesz zautomatyzować ten proces za pomocą kilku wtyczek zabezpieczeń WordPress.
1. Automatyczne przeprowadzanie audytu zabezpieczeń za pomocą WP Activity Log
WP Activity Log to najlepsza na rynku wtyczka do monitorowania aktywności WordPress.
Umożliwia śledzenie całego włączania użytkowników na twojej witrynie internetowej. Możesz zobaczyć wszystkie loginy użytkowników, adresy IP i to, co robili na twojej witrynie internetowej.
Możesz śledzić użytkowników WooCommerce, redaktorów, autorów i innych członków, którzy mają konto na twojej witrynie internetowej.
Możesz także włączyć zdarzenia, które chcesz śledzić i wyłączyć zdarzenia, których nie chcesz monitorować.
Wtyczka pokazuje również podgląd na żywo wszystkich użytkowników logujących się do twojej witryny internetowej. Jeśli zauważysz podejrzane konto, możesz natychmiast zakończyć jego sesję i zablokować je.
Możesz dowiedzieć się więcej w naszym przewodniku na temat monitorowania aktywności użytkowników w WordPressie za pomocą WP Activity Log.
2. Automatyczne przeprowadzanie audytu zabezpieczeń z Sucuri
Sucuri to najlepsza wtyczka do zapory WordPress na rynku, a także najlepsze kompleksowe rozwiązanie do zabezpieczeń WordPress, jakie możesz uzyskać dla swojej witryny internetowej.
Zapewnia ochronę w czasie rzeczywistym przed atakami DDoS, blokując podejrzane włączanie jeszcze zanim dotrze ono do twojej witryny internetowej. To usuwa wczytywanie z twojego serwera i poprawia szybkość/wydajność witryny internetowej.
Posiada wbudowaną wtyczkę zabezpieczeń, która sprawdza twoje pliki WordPress pod kątem podejrzanego kodu. Otrzymujesz również szczegółowy wgląd w aktywność użytkowników na twojej witrynie internetowej.
Co najważniejsze, Sucuri oferuje usuwanie złośliwego oprogramowania za darmo we wszystkich swoich płatnych planach. Oznacza to, że nawet jeśli Twoja witryna internetowa ma już wpływ, ich eksperci ds. zabezpieczeń wyczyszczą ją za Ciebie.
Przewodniki ekspertów dotyczące zabezpieczeń WordPressa
Teraz, gdy już wiesz, jak przeprowadzić audyt bezpieczeństwa WordPressa, możesz zapoznać się z innymi przewodnikami związanymi z zabezpieczeniami WordPressa:
- Jak wymusić silne hasła na użytkownikach w WordPress
- Jak zabezpieczyć twoją witrynę WordPress przed atakami Brute Force?
- Główne powody, dla których witryny WordPress są hakowane (i jak temu zapobiec)
- Oznaki włamania na twoją witrynę WordPress (porady ekspertów)
- Jak przeskanować twoją witrynę WordPress pod kątem potencjalnie złośliwego kodu?
- Jak znaleźć backdoora w zhakowanej witrynie WordPress i go naprawić?
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak przeprowadzić audyt zabezpieczeń WordPress na twojej witrynie internetowej. Być może zechcesz również zapoznać się z naszym przewodnikiem na temat tego, jak poprawić Twoje WordPress SEO lub z naszą ekspercką listą najlepszych wtyczek do WordPress landing page.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Eva says
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support says
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Administrator
Eva says
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support says
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva says
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW says
Yeah, doing the login URI really doesn’t do much. It’s a technique known as „security by obscurity” – basically security by „hiding”.
If someone is determined to get into your website, using these „Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.