Над 40% от 10-те милиона онлайн уебсайта използват WordPress. Но безопасен ли е WordPress? Краткият отговор на този въпрос е да – WordPress е безопасен. Това обаче не означава, че WordPress няма никакви уязвимости.

За щастие общността на WordPress е документирала много често срещани уязвимости на WordPress, което улеснява администраторите на уебсайтове да добавят слоеве на сигурност към своя сайт. В тази статия ще разгледам 5 лесни начина да направите своя уебсайт на WordPress още осигуряване.

Съдържание

1. Имате уникални администраторски потребителски имена и силни пароли за влизане

Страницата за вход на администратора е първата линия на защита за вашия уебсайт WordPress. Това е мястото, където всеки администратор или потребител може да получи достъп до „back-end“ на вашия сайт и да прави промени в сайта, да въвежда или извлича потребителски/клиентски данни или да добавя или премахва файлове и функции на сайта – при условие че им е дадено разрешение за това .

И все пак лошите участници могат също да използват тази страница за вход като портал за атака срещу вашия сайт. Например в „Brute Force” атаки, хакерите правят многократни опити да отгатнат вашите идентификационни данни за вход, за да получат достъп до вашия сайт.

Няма да отнеме много време на тези хакери да проникнат успешно в чувствителната информация на вашия сайт, ако използвате общо администраторско потребителско име и парола (като „admin“ за потребителското име и „password1234“ за паролата).

Ето защо първото лесно нещо, което можете да направите, за да направите сайта си по-сигурен, е използвайте уникални потребителски имена и силни пароли за идентификационни данни за влизане в сайта. Също така ще искате да се уверите, че вашето потребителско име и парола са уникален за вашия уебсайт WordPress и не се използва за други места за влизане (като вашето онлайн банкиране или влизане в социални медии). Това ще добави допълнителен слой сигурност.

Ако, от друга страна, рециклирате своите потребителски имена и пароли в множество сайтове, всички сайтове, използващи тези идентификационни данни, ще бъдат поставени в опасност в момента, в който един от тях бъде компрометиран от хакер.

Ако се притеснявате да не загубите информацията си за вход, направете хартиено копие на информацията (не забравяйте да включите правилните главни букви!). Съхранявайте хартиеното копие на безопасно място, където само вие и доверени лица имате достъп (като заключващ се шкаф за документи).

Освен това можете да активирате двуфакторно удостоверяване или еднократна парола (OTP) за вашата страница за вход в WordPress. Това ще осигури още едно ниво на сигурност за повече нива на защита. Например, на Плъгин за сигурност на WordPress SG Security (който идва с SiteGround планове за хостинг) идва с функция „Двуфакторно удостоверяване“, която използва приставката за удостоверяване на Google. Това означава, че дори ако хакер познае потребителското ви име и парола на администратора, той пак ще трябва да разбере произволно генерирания код за удостоверяване, за да получи достъп до бекенда на вашия сайт.

Опростен WordPress: Как да изградим мощни уебсайтове Курс от Davies Media Design

2. Използвайте най-новата версия на WordPress

Друг лесен начин да защитите сайта си е винаги да използвате най-новата версия на WordPress. WordPress работи на „цикъл на издаване“, който пуска нови версии на основния код на всеки 4 месеца или така. Въпреки че новите версии на WordPress могат да бъдат малки или основни, те почти винаги съдържат актуализации за сигурност.

Тези актуализации се основават на най-новата информация от източници като Отворен проект за сигурност на уеб приложения (OWASP Foundation), „онлайн общност, посветена на сигурността на уеб приложенията.“

За щастие, WordPress и всяка от новите му версии винаги са безплатни за инсталиране на вашия сайт. И в повечето случаи WordPress автоматично ще актуализира вашия сайт до най-новата версия (освен ако изрично не му кажете да не го прави или използвате версия, по-стара от WordPress 3.7).

Плюс това, основният екип на WordPress полага много усилия, за да направи новите версии на WordPress обратно съвместими. Това просто означава, че новите версии на WordPress са проектирани да работят с вашите съществуващи теми, плъгини и персонализиран код.

Можете да проверите дали вашият сайт е актуализиран до най-новата версия, като отидете на Табло>Актуализации (жълта стрелка в изображението по-горе). Тук ще видите каква версия на WordPress използвате и дали е най-новата налична версия (червена стрелка в горното изображение).

Едно важно нещо, което трябва да отбележите, е, че обикновено не искате да „скачате“ до най-новата версия на WordPress, ако използвате много по-стара версия.

Например, ако използвате WordPress 4.9 (излязъл през 2017 г.) на живия си сайт, не препоръчвам да се опитвате да актуализирате направо до WordPress 6.2 (най-новата версия към момента на тази статия). Това ще развали нещата.

Вместо това можете да изтеглите и инсталирате минали издания към вашия уебсайт и бавно го актуализирайте. Освен това ще искате да архивирате файловете на вашия сайт, преди да извършите актуализациите си. Препоръчвам да проверите тази статия за различните стъпки, които трябва да предприемете преди, по време и след архивиране на вашия WordPress сайт. Това определено може да бъде процес, но ще ви спести главоболието от срив на сайта ви и опити да поправите всичко след факта.

Имайте предвид, че колкото по-стара е текущата ви версия на WordPress, толкова по-досаден и несигурен ще бъде този процес. Това е още една причина да поддържате вашата версия на WordPress актуална по всяко време!

3. Актуализирайте вашата тема до най-новата версия, плюс деинсталирайте неизползваните теми

WordPress „втвърдява“ сигурността на своите теми по подразбиране, като постоянно разработва, итерира и пуска нови версии на теми. Това означава, че винаги трябва да използвате най-новата тема по подразбиране от WordPress, когато можете, тъй като тя ще има вградени всички най-нови актуализации за защита.

За щастие е лесно да се каже коя тема по подразбиране е най-новата, защото те наименуват всяка нова тема след текущата (или предстоящата) година, когато темата трябва да бъде пусната. Например темата, която те пуснаха през 2023 г., се нарича „Twenty Twenty-Three“.

Освен актуализациите за защита, новите теми по подразбиране също съдържат много нови функции, които са предназначени да направят проектирането на вашите уебсайтове по-лесно и по-приятно. Освен това те често идват с подобрения в производителността, за да направят сайта ви по-добър и по този начин да ви помогнат да получите повече трафик.

Не сте сигурни как да актуализирате темите си в WordPress? Показвам ви как в моя WordPress за начинаещи 2023 г.: Мастърклас по WordPress без код на Udemy.

Независимо дали решите да използвате най-новата тема по подразбиране за вашия WordPress сайт или да се придържате към темата, която ви харесва, винаги трябва да изтривате всички неактивни или по друг начин неизползвани теми в задната част на вашия сайт. Това е така, защото неизползваните теми (особено по-стари теми или теми на трети страни) може да имат уязвимости в сигурността, които улесняват хакерите да получат достъп до вашия сайт и да го атакуват.

Можете да научите как да изтриете неизползвани теми от WordPress в тази помощна статия от Davies Media Design.

4. Актуализирайте добавките до последната им версия и проверете съвместимостта

Едно от нещата, които правят WordPress страхотен, е неговата интеграция на плъгини на трети страни. Въпреки това, не всички добавки са създадени еднакви и някои от тях могат действително да създадат уязвимости в сигурността на вашия сайт.

За щастие има няколко лесни неща, които можете да направите, за да намалите риска от заплахи за сигурността, създадени от добавки.

За начало винаги се препоръчва да ви изтеглете и инсталирайте добавки за WordPress от хранилището на WordPress. Това е така, защото изброените тук добавки трябва да бъдат прегледани и одобрени от екипа по сигурността на WordPress, преди да бъдат предоставени за изтегляне. Можете да намерите тези добавки чрез тази директна връзка към хранилището на добавките, или директно от WP Admin Area на вашия сайт, като отидете на Plugins>Add New (жълта стрелка на изображението по-долу).

Когато решавате кой плъгин да изтеглите за вашия WordPress сайт, силно препоръчвам да използвате плъгини, които са посочени като „съвместими с вашата версия на WordPress“. За щастие, WordPress ви казва дали вашият плъгин и версията на WordPress са съвместими директно от директорията на приставките (червена стрелка в изображението по-горе). Приставките, които не са тествани спрямо най-новата версия на WordPress, ще показват съобщението: „Нетествано с вашата версия на WordPress“ (синя стрелка в изображението по-горе).

Докато „нетестваните“ плъгини може да работят добре с вашата версия и тема на WordPress, може да има неоткрити уязвимости в сигурността, свързани с тези плъгини. Така че използвайте такива добавки с повишено внимание на уебсайта си.

Имайте предвид, че WordPress заявява в своята Бяла книга за сигурността: „Включването на добавки и теми в хранилището не е гаранция, че нямат уязвимости в сигурността.“ Като се има предвид това, плъгините с известни „сериозни уязвимости“ се премахват от хранилището и дори може да бъдат коригирани от екипа по сигурността на WordPress, преди да бъдат повторно публикувани в хранилището.

И накрая, след като имате инсталирани плъгини на вашия сайт, ще искате да сте сигурни, че ги поддържате всички актуални. Разработчиците на плъгини обикновено въвеждат актуализации за сигурност и корекции с новите си версии. Така че, разполагайки с най-новата версия на плъгин, вие гарантирате, че имате всички най-нови актуализации за сигурност, налични за този плъгин на вашия сайт. Точно както при неизползваните или неактивни теми, аз също препоръчвам да деактивирате и деинсталирате всички неизползвани приставки на вашия сайт, за да намалите шансовете такива приставки да създадат уязвимост на сигурността по-късно.

Ако не сте сигурни как да актуализирате плъгини в WordPress, силно препоръчвам да проверите този процес в моя WordPress за начинаещи 2023 г.: Мастърклас по WordPress без код на Udemy.

5. Добавете SSL сертификат към вашия домейн

Финалът лесно начин да добавите повече сигурност към вашия WordPress сайт през 2023 г. е да добавите SSL сертификат към вашия домейн.

SSL (Secure Socket Layer) сертификатите по същество потвърждават, че съдържанието, което посетителите на вашия сайт виждат, идва от действителния създател на съдържанието, а не от самозванец или измамнически уебсайт. С други думи, той проверява дали всичко е законно директно от браузъра на потребителя.

Сайтове, които имат правилно настроен SSL сертификат, ще имат икона за заключване до URL адреса на сайта в лентата за търсене на браузъра. Например, ако погледнете горната част на този уебсайт в браузъра Chrome на Google, ще видите икона на катинар до основния URL адрес (червена стрелка на изображението по-горе). Когато щракнете върху иконата за заключване, ще видите ред, който гласи „Връзката е защитена“. Това е проверка на Google дали връзката между този уебсайт и уеб браузъра на посетителя е защитена и частна.

SSL сертификатите са особено важни за всеки уебсайт, който събира ВСЯКО тип потребителски данни. Това включва проста информация, събрана от формуляр за контакт (напр. име, имейл, телефонен номер и т.н.), както и по-сложна или лична информация, която например би била събрана от сайт за електронна търговия (напр. номера на кредитни карти, адрес, и т.н.). Като правят връзката сигурна между уебсайта и посетителите на сайта, SSL сертификатите правят много трудно за хакерите да откраднат информацията, обменяна между двете страни.

Някои компании за хостинг на уебсайтове таксуват за SSL сертификат, докато други (като SiteGround) ще предложи a безплатен SSL сертификат. Повечето хостинг доставчици трябва да предлагат SSL сертификат, както и да предоставят инструкции как да го инсталирате на вашия уебсайт WordPress.

Като допълнителен бонус, търсачки като Google са склонни да класират уебсайтове със SSL сертификати по-високо от тези, които нямат такъв. С други думи, SSL сертификатите не само правят вашите сайтове по-сигурни, но също така могат да помогнат на вашия сайт да получи повече трафик.

Това е всичко за тази статия! Ако ви е харесало, можете да научите повече за това как да създадете уебсайт на WordPress от началото до края в моя WordPress за начинаещи 2023 г.: Мастърклас по WordPress без код на Udemy.

Имейл бюлетин за безплатни креативни приложения на Davies Media Design

Абонирайте се за бюлетина на DMD

Регистрирайте се, за да получавате нови уроци, актуализации на курсове и най-новите новини за любимите ви безплатни творчески приложения!

Абонирахте се успешно!

Тя ПИН на Pinterest