Kaip Apsaugoti WordPress

Kaip Apsaugoti WordPress: Praktinis Gidas Jūsų Svetainės Saugumui

Autorius /

WordPress valdo maždaug 43 % visų pasaulio svetainių. Ši populiarumas yra ir stiprybė, ir silpnybė. Stiprybė, nes bendruomenė didžiulė, įskiepių ir temų pasirinkimas platus, o sprendimai lengvai prieinami. Silpnybė, nes kuo populiaresnė platforma, tuo daugiau dėmesio jai skiria piktavaliai.

Kasdien atakuojama apie 13 000 WordPress svetainių. Tai maždaug 9 svetainės per minutę. Dauguma šių atakų nukreiptos ne į konkrečią svetainę, o vykdomos automatiškai, nusitaikant į žinomus pažeidžiamumus, silpnus slaptažodžius ir pasenusius įskiepius.

Gera žinia: didžioji dalis šių atakų yra nesudėtingos ir jas galima sustabdyti be gilių techninių žinių. Šiame straipsnyje rasite konkrečius veiksmus, kuriuos galite atlikti šiandien, kad jūsų WordPress svetainė taptų kur kas saugesnė.

Kodėl WordPress svetainės tampa taikiniu?

Prieš gilinantis į apsaugos priemones, svarbu suprasti, kodėl WordPress svetainės atakuojamos ir kas tiksliai vyksta.

Automatizuotos atakos

Dauguma WordPress atakų nėra asmeninės. Niekas nesėdi prie kompiuterio ir nebando rankiniu būdu įsilaužti būtent į jūsų svetainę. Vietoj to veikia botai (automatizuotos programos), kurios skenuoja tūkstančius svetainių per valandą ir ieško žinomų spragų.

Jei jūsų svetainėje yra pasenęs įskiepis su žinomu pažeidžiamumu, botas jį ras ir pasinaudos. Tai trunka kelias sekundes.

Silpni slaptažodžiai

Brute force atakos (kai bandoma prisijungti su tūkstančiais slaptažodžių kombinacijų) yra vienas populiariausių metodų. Jei jūsų administratoriaus slaptažodis yra „admin123″ arba „svetaine2024″, jis bus atspėtas per kelias minutes.

Pasenusi programinė įranga

Kiekvienas WordPress atnaujinimas, kiekvienas įskiepio atnaujinimas dažnai taisydamas saugumo spragas. Kai neatnaujinate, paliekate atviras duris, apie kurias visi žino.

Nekokybiškas hostingas

Pigus bendrinamas hostingas (shared hosting) reiškia, kad jūsų svetainė dalijasi serveriu su šimtais kitų svetainių. Jei viena iš jų yra pažeista, tai gali paveikti ir jūsų svetainę.

Pagrindinės apsaugos priemonės: pradėkite nuo čia

1. Naudokite stiprius slaptažodžius

Tai skamba paprastai, bet vis dar yra pati dažniausia saugumo spraga. Stiprus slaptažodis turi:

  • Bent 16 simbolių
  • Didžiąsias ir mažąsias raides
  • Skaičius
  • Specialius simbolius (!, @, #, $, %)
  • Jokių žodžių iš žodyno ar asmeninės informacijos

Naudokite slaptažodžių tvarkyklę (Bitwarden, 1Password, KeePass), kad sugeneruotumėte ir saugotumėte sudėtingus slaptažodžius. Kiekviena paskyra turėtų turėti atskirą slaptažodį.

Svarbu: stiprūs slaptažodžiai turi būti nustatyti ne tik WordPress administratoriaus paskyroje, bet ir FTP, hostingo valdymo skydelyje, duomenų bazėje ir el. pašto paskyroje, susietoje su WordPress.

2. Atnaujinkite viską ir reguliariai

Atnaujinimai yra jūsų pirmoji gynybos linija:

  • WordPress branduolys: kiekvienas atnaujinimas ištaiso saugumo spragas. Įjunkite automatinius mažuosius atnaujinimus (pvz., 6.4.1 → 6.4.2), o didesnius (6.4 → 6.5) atnaujinkite rankiniu būdu po trumpo testavimo
  • Įskiepiai: tai dažniausias atakų vektorius. Atnaujinkite kuo greičiau, ypač kai atnaujinime nurodyta „security fix”
  • Temos: net jei tema nematoma (pvz., naudojate kitą), ji vis tiek gali būti pažeidžiama. Ištrinkite nenaudojamas temas
  • PHP versija: naudokite naujausią palaikomą PHP versiją (šiuo metu PHP 8.2 arba 8.3). Senesnės PHP versijos nebegauna saugumo pataisų

Patarimas: kiekvieną savaitę skirkite 15 minučių atnaujinimams peržiūrėti. Tai viena geriausių investicijų į saugumą.

3. Įdiekite SSL sertifikatą

SSL sertifikatas užšifruoja duomenis, keliaujančius tarp lankytojo naršyklės ir jūsų serverio. Be SSL:

  • Slaptažodžiai siunčiami atviru tekstu
  • Google žymi svetainę kaip „Nesaugią”
  • Nukenčia SEO pozicijos
  • Lankytojai nepasitiki svetaine

Dauguma hostingo tiekėjų siūlo nemokamą Let’s Encrypt SSL sertifikatą. Įdiegę SSL, nustatykite WordPress, kad visada naudotų HTTPS:

// wp-config.php faile pridėkite:
define('FORCE_SSL_ADMIN', true);

Taip pat nustatykite nukreipimą iš HTTP į HTTPS .htaccess faile:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

4. Pasirinkite patikimą hostingo tiekėją

Hostingas yra jūsų svetainės pagrindas. Pigus hostingas gali kainuoti daugiau ilgalaikėje perspektyvoje, jei svetainė bus nulaužta.

Ką ieškoti hostingo tiekėjuje:

  • Serverio lygio ugniasienė (WAF)
  • Automatinės atsarginės kopijos bent kartą per dieną
  • Malware skenavimas serverio lygiu
  • PHP versijų pasirinkimas ir galimybė greitai pakeisti
  • Izoliuotos paskyros (ne bendrinamas hostingas arba konteinerių izoliacija)
  • DDoS apsauga
  • Techninė pagalba 24/7, kuri supranta WordPress specifiką

Lietuvoje ir Europoje veikia nemažai kokybiškų hostingo tiekėjų, kurie specializuojasi WordPress hostinge ir siūlo pirmiau minėtas funkcijas. Prieš pasirinkdami, patikrinkite naudotojų atsiliepimus ir serverio reakcijos laikus.

Prisijungimo apsauga

Prisijungimo puslapis (wp-login.php) yra dažniausiai atakuojama WordPress dalis. Štai kaip jį apsaugoti.

5. Pakeiskite numatytąjį administratoriaus vardą

Jei jūsų administratoriaus vartotojo vardas yra „admin”, pakeiskite jį. Tai pirmasis vartotojo vardas, kurį bando botai.

WordPress neleidžia tiesiogiai pakeisti vartotojo vardo, bet galite:

  1. Sukurti naują administratoriaus paskyrą su kitu vardu
  2. Prisijungti prie naujos paskyros
  3. Ištrinti seną „admin” paskyrą (priskirdami visą turinį naujai paskyrai)

6. Įjunkite dviejų faktorių autentifikaciją (2FA)

Dviejų faktorių autentifikacija prideda papildomą saugumo sluoksnį. Net jei kažkas sužino jūsų slaptažodį, jis negalės prisijungti be antrojo faktoriaus.

Rekomenduojami 2FA įskiepiai:

  • WP 2FA: paprastas, lengvai konfigūruojamas
  • Two Factor Authentication: palaiko TOTP (Google Authenticator, Authy) ir el. pašto kodus
  • Wordfence Login Security: nemokamas 2FA kaip atskiras lengvasvoris įskiepis

Naudokite autentifikavimo programėlę (Google Authenticator, Authy, Microsoft Authenticator), o ne SMS kodus. SMS kodai gali būti perimti per SIM swap atakas.

7. Ribokite prisijungimo bandymus

Numatytoji WordPress konfigūracija leidžia neribotą skaičių prisijungimo bandymų. Tai atveria duris brute force atakoms.

Ribojimas veikia taip: po 3–5 nesėkmingų bandymų IP adresas blokuojamas tam tikram laikui (pvz., 15 minučių). Po pakartotinių blokavimų, laikas ilginamas.

Sprendimai:

  • Limit Login Attempts Reloaded: populiarus nemokamas įskiepis
  • Login LockDown: lengvasvoris ir efektyvus
  • Daugelis saugumo įskiepių (Wordfence, iThemes Security) turi šią funkciją integruotą

8. Pakeiskite prisijungimo puslapio URL

Pagal nutylėjimą WordPress prisijungimo puslapis yra /wp-login.php arba /wp-admin. Kiekvienas botas tai žino.

Pakeitus URL (pvz., į /mano-prisijungimas), automatizuotos atakos tiesiog neranda prisijungimo puslapio. Tai nėra saugumo garantija, bet sumažina automatizuotų atakų skaičių.

Įskiepiai:

  • WPS Hide Login: lengvas, atlieka vieną funkciją gerai
  • All In One WP Security: turi šią funkciją kartu su daugeliu kitų

Svarbu: pakeitus URL, įsiminkite naują adresą arba išsaugokite jį slaptažodžių tvarkyklėje. Jei pamiršite, prisijungti galėsite tik per FTP, išjungdami įskiepį.

9. Pridėkite CAPTCHA prisijungimo puslapyje

CAPTCHA atpažįsta, ar prisijungti bando žmogus, ar botas. Šiuolaikinės CAPTCHA sistemos (reCAPTCHA v3, hCaptcha, Cloudflare Turnstile) veikia fone ir netrukdo tikram naudotojui.

Rekomenduojami įskiepiai:

  • hCaptcha for WordPress: privatumą gerbiantis CAPTCHA sprendimas
  • Login No Captcha reCAPTCHA: paprasta Google reCAPTCHA integracija

Failų ir duomenų bazės apsauga

10. Apsaugokite wp-config.php failą

wp-config.php failas yra svarbiausias WordPress failas. Jame saugomi duomenų bazės prisijungimo duomenys, autentifikavimo raktai ir kitos svarbios konfigūracijos.

Apsaugokite jį .htaccess taisykle:

<files wp-config.php>
order allow,deny
deny from all
</files>

Taip pat galite perkelti wp-config.php vieną katalogą aukščiau nei WordPress instaliacijos katalogas. WordPress automatiškai jį ras, bet jis bus nepasiekiamas per naršyklę.

11. Išjunkite failų redagavimą iš valdymo skydelio

WordPress leidžia redaguoti temų ir įskiepių failus tiesiogiai iš administratoriaus skydelio (Appearance → Theme File Editor). Jei įsilaužėlis pateks į administratoriaus paskyrą, jis galės tiesiogiai keisti PHP failus.

Išjunkite šią funkciją pridėdami eilutę wp-config.php faile:

define('DISALLOW_FILE_EDIT', true);

Jei reikia redaguoti failus, naudokite FTP arba failų tvarkyklę hostingo skydelyje.

12. Nustatykite teisingus failų leidimus

Neteisingi failų leidimai gali leisti pašaliniams keisti jūsų svetainės failus:

Failas/katalogasRekomenduojami leidimai
Katalogai755
Failai644
wp-config.php440 arba 400
.htaccess444

Šiuos leidimus galite pakeisti per FTP klientą (FileZilla) arba per hostingo failų tvarkyklę.

13. Išjunkite PHP vykdymą uploads kataloge

/wp-content/uploads/ katalogas skirtas medijinei informacijai (paveikslėliai, dokumentai). PHP failai čia neturėtų būti vykdomi. Dažna atakų taktika: įkelti kenkėjišką PHP failą per pažeidžiamą įskiepį ir jį paleisti.

Sukurkite .htaccess failą /wp-content/uploads/ kataloge su tokiu turiniu:

<Files *.php>
deny from all
</Files>

14. Apsaugokite duomenų bazę

Keletas paprastų žingsnių:

  • Pakeiskite duomenų bazės lentelių prefiksą: numatytasis prefiksas yra wp_. Pakeiskite jį į kažką nestandartinio (pvz., x7k_). Tai apsunkina SQL injection atakas. Geriausia tai padaryti diegimo metu. Esamoje svetainėje galima pakeisti, bet tai reikalauja atidumo ir atsarginės kopijos
  • Naudokite atskirą duomenų bazės naudotoją su minimaliais būtinais leidimais
  • Reguliariai kurkite duomenų bazės atsargines kopijas

15. Išjunkite XML-RPC

XML-RPC (xmlrpc.php) yra senas WordPress protokolas, skirtas nuotoliniam turinio publikavimui ir komunikacijai su trečiųjų šalių programomis. Šiandien dauguma šių funkcijų pasiekiamos per REST API.

XML-RPC yra populiarus atakų vektorius, ypač amplified brute force atakoms (vienu užklausos galima bandyti šimtus slaptažodžių kombinacijų).

Išjungimas per .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Arba naudokite įskiepį Disable XML-RPC-API.

Pastaba: jei naudojate Jetpack įskiepį arba WordPress programėlę, XML-RPC gali būti reikalingas. Tokiu atveju geriau riboti prieigą pagal IP, o ne visiškai išjungti.

16. Paslėpkite WordPress versiją

Pagal nutylėjimą WordPress rodo savo versiją puslapio kode. Tai padeda atakuotojams identifikuoti, ar jūsų versija turi žinomų pažeidžiamumų.

Pridėkite šį kodą savo temos functions.php faile:

remove_action('wp_head', 'wp_generator');

Taip pat pašalinkite versiją iš RSS:

function remove_wp_version_rss() {
    return '';
}
add_filter('the_generator', 'remove_wp_version_rss');

Saugumo įskiepiai

17. Pasirinkite saugumo įskiepį

Saugumo įskiepis veikia kaip apsaugos sistema, apjungianti daugybę funkcijų vienoje vietoje. Štai trys populiariausi pasirinkimai:

Wordfence Security

  • Pati populiariausia WordPress ugniasienė
  • Realaus laiko grėsmių informacija (premium versijoje)
  • Malware skenavimas
  • Prisijungimo apsauga ir 2FA
  • Nemokama versija pakankamai galinga daugumai svetainių

Sucuri Security

  • Debesijos ugniasienė (WAF), kuri filtruoja srautą prieš jam pasiekiant serverį
  • DDoS apsauga
  • CDN funkcionalumas
  • Malware valymo paslauga (premium)
  • Gerai tinka svetainėms, kurioms reikia aukšto prieinamumo

Solid Security (buvęs iThemes Security)

  • Patogi sąsaja pradedantiesiems
  • Slaptažodžių politikos valdymas
  • Failų pokyčių stebėjimas
  • Dviejų faktorių autentifikacija
  • Saugumo patikros skydelis su rekomendacijomis

Pasirinkite vieną. Nenaudokite dviejų saugumo įskiepių vienu metu, nes jie gali konfliktuoti ir sulėtinti svetainę.

18. Naudokite ugniasienę (WAF)

Ugniasienė (Web Application Firewall) filtruoja kenkėjišką srautą prieš jam pasiekiant jūsų svetainę. Yra du tipai:

Serverio lygio ugniasienė: veikia jūsų serveryje (Wordfence, Solid Security). Privalumas: mato visą srautą. Trūkumas: naudoja jūsų serverio resursus.

Debesijos ugniasienė: veikia tarp lankytojo ir jūsų serverio (Sucuri, Cloudflare). Privalumas: blokuoja kenkėjišką srautą dar nepasiekus serverio, sumažina apkrovą. Trūkumas: reikalauja DNS pakeitimų.

Cloudflare siūlo nemokamą planą su bazine DDoS apsauga ir CDN. Tai geras papildomas saugumo sluoksnis prie bet kurio saugumo įskiepio.

Atsarginės kopijos

19. Kurkite reguliarias atsargines kopijas

Atsarginės kopijos yra jūsų paskutinė gynybos linija. Jei viskas sugriūna, atsarginė kopija leidžia atstatyti svetainę.

Atsarginių kopijų taisyklės:

  • Dažnumas: priklauso nuo turinio atnaujinimo dažnumo. Kasdien atnaujinama svetainė turėtų turėti kasdienes kopijas. Statinė svetainė gali kurtos kas savaitę
  • Saugojimas: niekada nesaugokite atsarginių kopijų tame pačiame serveryje. Naudokite debesų saugyklą (Google Drive, Dropbox, Amazon S3)
  • Tikrinkite: periodiškai atstatykite atsarginę kopiją testavimo aplinkoje, kad įsitikintumėte, jog ji veikia
  • Apimtis: kopijuokite ir failus, ir duomenų bazę

Rekomenduojami įskiepiai:

  • UpdraftPlus: populiariausias nemokamas atsarginių kopijų įskiepis, palaiko daugybę debesų saugyklų
  • BlogVault: realaus laiko atsarginės kopijos su vieno paspaudimo atstatymu
  • BackWPup: siunčia kopijas į el. paštą, FTP, Dropbox, S3

Stebėjimas ir reagavimas

20. Stebėkite failų pokyčius

Failų vientisumo stebėjimas (file integrity monitoring) praneša, kai jūsų svetainės failai pasikeičia. Jei neatnaujinote nieko, o failai keičiasi, tai gali reikšti, kad kažkas pašalinis modifikavo jūsų svetainę.

Wordfence ir Solid Security turi integruotą failų stebėjimą. Galite nustatyti, kad pranešimai būtų siunčiami el. paštu.

21. Peržiūrėkite aktyvumo žurnalą

Aktyvumo žurnalas (activity log) registruoja visus veiksmus WordPress valdymo skydelyje: kas prisijungė, kas pakeitė turinį, kas įdiegė ar ištrynė įskiepį.

Tai naudinga dviem tikslais:

  • Saugumo stebėjimas: pamatysite neįprastą veiklą (prisijungimai iš nežinomų IP, naktiniai turinio keitimai)
  • Atsakomybė: kai svetainę valdo keli žmonės, žinosite, kas ką padarė

Įskiepiai:

  • WP Activity Log: detalus žurnalas su filtravimo galimybėmis
  • Simple History: lengvasvoris, paprasta sąsaja

22. Nustatykite saugumo pranešimus

Nesėdėkite prie kompiuterio laukdami atakos. Nustatykite automatinius pranešimus:

  • Pranešimas el. paštu apie sėkmingą administratoriaus prisijungimą
  • Pranešimas apie kelis nesėkmingus prisijungimo bandymus
  • Pranešimas apie failų pokyčius
  • Pranešimas apie naujus naudotojus
  • Pranešimas apie galimus atnaujinimus

Dauguma saugumo įskiepių siūlo šias pranešimų galimybes. Svarbiausia: peržiūrėkite pranešimus reguliariai ir reaguokite į neįprastus.

Naudotojų valdymas

23. Taikykite mažiausių teisių principą

Kiekvienas WordPress naudotojas turėtų turėti tik tas teises, kurių jam reikia darbui atlikti:

VaidmuoKam skirtas
AdministratoriusTik svetainės savininkas ar techninis vadovas
RedaktoriusTurinio komandos vadovas, kuris tvarko visus įrašus
AutoriusRašytojas, kuris kuria ir publikuoja savo įrašus
BendradarbisSvečias autorius, kurio turinį tvirtina redaktorius
PrenumeratoriusRegistruotas lankytojas be turinio valdymo teisių

Niekada nesuteikite administratoriaus teisių žmogui, kuriam reikia tik rašyti straipsnius. Jei darbuotojas pasitraukia, iš karto panaikinkite jo paskyrą.

24. Ribokite prisijungimo sesijas

Nustatykite automatinį atsijungimą po neaktyvumo periodo (pvz., 30 minučių). Tai apsaugo situacijas, kai naudotojas pamiršta atsijungti viešame kompiuteryje.

Įskiepis Inactive Logout leidžia nustatyti automatinį atsijungimą su pasirenkamu laiko intervalu.

Papildomos apsaugos priemonės

25. Apsaugokite nuo komentarų šiukšlių (spam)

Komentarų šiukšlės ne tik erzina, bet gali būti pavojingos. Spam komentarai dažnai turi nuorodas į kenkėjiškas svetaines, o kai kurie bando vykdyti XSS (cross-site scripting) atakas per komentarų laukus.

Sprendimai:

  • Akismet Anti-Spam: „iš dėžutės” WordPress įskiepis, efektyvus prieš spam
  • Išjunkite komentarus puslapiuose, kur jie nereikalingi
  • Reikalaukite el. pašto patvirtinimo prieš pirmąjį komentarą
  • Pridėkite CAPTCHA komentarų formoje

26. Išjunkite katalogų naršymą

Pagal nutylėjimą Apache serveris gali rodyti katalogų turinį, jei kataloge nėra index failo. Tai leidžia atakuotojams matyti jūsų failų struktūrą.

Pridėkite .htaccess faile:

Options -Indexes

27. Naudokite saugumo antraštes (Security Headers)

HTTP saugumo antraštės apsaugo nuo įvairių atakų tipų. Pridėkite .htaccess faile:

# Apsauga nuo clickjacking
Header always set X-Frame-Options "SAMEORIGIN"

# Apsauga nuo MIME tipo sniffing
Header always set X-Content-Type-Options "nosniff"

# XSS apsauga
Header always set X-XSS-Protection "1; mode=block"

# Referrer politika
Header always set Referrer-Policy "strict-origin-when-cross-origin"

# Turinio saugumo politika (bazinė)
Header always set Content-Security-Policy "default-src 'self';"

Pastaba: Content-Security-Policy (CSP) reikalauja kruopštaus konfigūravimo. Per griežta politika gali sugadinti svetainės funkcionalumą. Pradėkite nuo bazinės konfigūracijos ir testuokite.

28. Apsaugokite REST API

WordPress REST API teikia daug informacijos, kuri gali būti naudinga atakuotojams (pvz., naudotojų sąrašas per /wp-json/wp/v2/users).

Ribokite prieigą prie REST API neautorizuotiems naudotojams. Tai galima padaryti per įskiepį arba pridėjus kodą functions.php faile:

add_filter('rest_authentication_errors', function($result) {
    if (true === $result || is_wp_error($result)) {
        return $result;
    }
    if (!is_user_logged_in()) {
        return new WP_Error(
            'rest_not_logged_in',
            'API prieiga apribota.',
            array('status' => 401)
        );
    }
    return $result;
});

Pastaba: jei naudojate Contact Form 7, WooCommerce ar kitus įskiepius, kurie remiasi REST API, visiškas apribojimas gali sugadinti jų funkcionalumą. Tokiu atveju ribokite tik konkrečius endpoint’us.

Ką daryti, jei svetainė jau buvo nulaužta?

Jei pastebėjote požymius, kad svetainė pažeista (neįprasti peradresavimai, nežinomi failai, pakeistas turinys, Google perspėjimai), veikite greitai:

1. Nekraskite

Staigūs veiksmai gali pabloginti situaciją. Sistemingai sekite šiuos žingsnius.

2. Sukurkite esamą kopiją

Prieš ką nors keisdami, sukurkite esamą svetainės kopiją (net jei ji užkrėsta). Tai gali prireikti tyrimui.

3. Pakeiskite visus slaptažodžius

Pakeiskite slaptažodžius šiems elementams:

  • WordPress administratoriaus paskyra
  • Visi WordPress naudotojai
  • FTP prisijungimas
  • Duomenų bazės naudotojas
  • Hostingo valdymo skydelis
  • El. pašto paskyra, susieta su WordPress

4. Identifikuokite ir pašalinkite kenkėjišką kodą

Naudokite malware skenavimo įrankius (Wordfence, Sucuri SiteCheck) pažeistiems failams identifikuoti. Palyginkite savo failus su švariais WordPress branduolio failais.

5. Atstatykite iš švarios atsarginės kopijos

Jei turite švarią atsarginę kopiją (sukurtą prieš įsilaužimą), atstatykite iš jos. Tai dažnai yra greičiausias ir patikimiausias būdas.

6. Atnaujinkite viską

Po atsatymo atnaujinkite WordPress, visus įskiepius ir temas iki naujausių versijų.

7. Sustiprinkite apsaugą

Taikykite visas šiame straipsnyje aprašytas priemones, kad situacija nepasikartotų.

Saugumo tikrinimo kontrolinis sąrašas

Naudokite šį sąrašą periodiniam saugumo patikrinimui (rekomenduojama kartą per mėnesį):

  • [ ] Ar visi slaptažodžiai stiprūs ir naudojama slaptažodžių tvarkyklė?
  • [ ] Ar WordPress branduolys, įskiepiai ir temos atnaujinti?
  • [ ] Ar naudojama naujausia palaikoma PHP versija?
  • [ ] Ar SSL sertifikatas aktyvus ir nepasibaigęs?
  • [ ] Ar atsarginės kopijos kuriamos reguliariai ir saugomos atskirai?
  • [ ] Ar atsarginę kopiją pavyko sėkmingai atstatyti testavimo aplinkoje?
  • [ ] Ar dviejų faktorių autentifikacija įjungta visiems administratoriams?
  • [ ] Ar prisijungimo bandymai ribojami?
  • [ ] Ar nėra nenaudojamų naudotojų paskyrų?
  • [ ] Ar nėra nenaudojamų įskiepių ir temų (ištrintos, ne tik deaktyvuotos)?
  • [ ] Ar aktyvumo žurnalas rodo neįprastą veiklą?
  • [ ] Ar saugumo skenavimas nerodo problemų?

Trijų sluoksnių apsaugos modelis

Veiksmingiausias WordPress saugumo požiūris remiasi trimis sluoksniais, veikiančiais kartu:

graph TD
    A["1 sluoksnis: Prevencija"] --> B["2 sluoksnis: Aptikimas"]
    B --> C["3 sluoksnis: Atkūrimas"]
    A1["Stiprūs slaptažodžiai, 2FA, atnaujinimai, ugniasienė"] --> A
    B1["Failų stebėjimas, aktyvumo žurnalas, skenavimas"] --> B
    C1["Atsarginės kopijos, reagavimo planas"] --> C

Kiekvienas sluoksnis veikia nepriklausomai. Jei prevencija nesuveikia, aptikimas padeda greitai sureaguoti. Jei aptikimas pavėluoja, atsarginės kopijos leidžia atkurti svetainę.

Ką daryti toliau?

WordPress saugumas nėra vienkartinė užduotis. Tai nuolatinis procesas, reikalaujantis reguliaraus dėmesio. Pradėkite nuo trijų veiksmų šiandien:

  1. Pakeiskite slaptažodžius visiems WordPress naudotojams ir įjunkite dviejų faktorių autentifikaciją
  2. Atnaujinkite viską (WordPress, įskiepius, temas, PHP versiją) ir ištrinkite tai, ko nenaudojate
  3. Įdiekite saugumo įskiepį (Wordfence arba Sucuri) ir nustatykite atsarginių kopijų kūrimą su saugojimu debesyje

Šie trys žingsniai pašalina didžiąją dalį pažeidžiamumų ir trunka mažiau nei valandą. O tai jau yra žymiai geriau nei nieko.

Svetainė, kuri yra apsaugota, yra svetainė, kuri dirba jums. Svetainė, kuri nėra apsaugota, anksčiau ar vėliau dirbs kažkam kitam.

Į viršų