W cyfrowym świecie, w którym cyberzagrożenia stają się coraz bardziej złożone i wyrafinowane, utrzymanie bezpieczeństwa witryny WordPress ma kluczowe znaczenie. Niezależnie od tego, czy prowadzisz osobisty blog, sklep e-commerce, czy witrynę korporacyjną, ochrona przed intruzami, hakerami i złośliwym oprogramowaniem powinna być Twoim priorytetem numer jeden.

Statystyki są przygnębiające: według WordPress Stats prawie 70% wszystkich stron internetowych zbudowanych na tej platformie jest atakowanych przez cyberprzestępców. Konsekwencje tych ataków mogą być katastrofalne – od kradzieży poufnych danych po całkowite usunięcie zawartości witryny. Oprócz strat finansowych może to spowodować nieodwracalne szkody dla reputacji marki i podważyć zaufanie klientów.

Nie należy jednak rozpaczać, ponieważ istnieją skuteczne sposoby ochrony witryny WordPress przed potencjalnymi zagrożeniami. Przyjrzymy się najlepszym praktykom i instrukcjom krok po kroku, jak poprawić bezpieczeństwo swojej witryny w 2024 roku.

Poznasz najnowsze trendy w cyberbezpieczeństwie, metody ochrony przed najczęstszymi rodzajami ataków, takimi jak brute force, injection, defacement i wiele innych. Przyjrzymy się również znaczeniu wyboru niezawodnej usługi hostingowej, konfigurowania zapór ogniowych, instalowania aktualizacji i regularnego tworzenia kopii zapasowych.

Treść:

Bezpieczeństwo WordPress krok po kroku (bez kodowania)

Bezpieczeństwo WordPress krok po kroku (konfiguracja ręczna)

Zalecenia i wskazówki (każdy powinien przeczytać)

Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

Regularne tworzenie kopii zapasowych witryny WordPress ma kluczowe znaczenie dla zapewnienia bezpieczeństwa i integralności danych. W przypadku cyberataku, awarii systemu lub przypadkowego usunięcia treści, można szybko przywrócić witrynę z kopii zapasowej, minimalizując utratę danych i przestoje.

Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

Istnieją zarówno płatne, jak i bezpłatne rozwiązania do tworzenia kopii zapasowych WordPress, z których każde ma swoje zalety i wady. Niektóre popularne opcje obejmują:

  • UpdraftPlus to potężna darmowa wtyczka, która umożliwia tworzenie kopii zapasowych witryny, baz danych, wtyczek i motywów. Umożliwia zapisywanie kopii w usługach w chmurze, takich jak Dropbox, Google Drive lub Amazon S3.
  • BackupBuddy to rozwiązanie premium od iBackup, które oferuje niezawodne tworzenie kopii zapasowych, odzyskiwanie danych i migrację witryn. Obsługuje wiele opcji pamięci masowej i automatyzację procesów.
  • BlogVault to oparta na chmurze usługa tworzenia kopii zapasowych skoncentrowana na bezpieczeństwie WordPress. Automatycznie tworzy codzienne kopie zapasowe i zapewnia szyfrowanie danych.

Wybierając rozwiązanie do tworzenia kopii zapas owych, należy wziąć pod uwagę takie czynniki, jak częstotliwość tworzenia kopii zapasowych, miejsce przechowywania danych (lokalnie lub w chmurze), stopień automatyzacji procesu i łatwość przywracania danych.

Zwróć uwagę na opinie użytkowników i wsparcie techniczne ze strony dewelopera.

Zainstaluj niezawodną wtyczkę bezpieczeństwa WordPress

Jednym z najskuteczniejszych sposobów na poprawę bezpieczeństwa witryny WordPress jest użycie specjalistycznej wtyczki bezpieczeństwa. Te potężne narzędzia oferują szereg funkcji bezpieczeństwa, takich jak skanowanie luk w zabezpieczeniach, ochrona przed atakami typu brute force, blokowanie niechcianych adresów IP i wiele innych.

Zainstaluj niezawodną wtyczkę bezpieczeństwa WordPress

Oto niektóre z najlepszych wtyczek bezpieczeństwa WordPress, które warto rozważyć:

  • Wordfence Security to jedna z najpopularniejszych wtyczek zabezpieczających z wbudowaną zaporą ogniową, dwustopniowym uwierzytelnianiem i regularnym skanowaniem w poszukiwaniu luk i złośliwego oprogramowania.
  • Sucuri Security to kompleksowe rozwiązanie, które łączy w sobie zaporę aplikacji internetowych (WAF), skaner luk w zabezpieczeniach, ochronę DDoS i monitorowanie złośliwego oprogramowania.
  • All In One WP Security & Firewall to darmowa wtyczka z szerokim zakresem funkcji, w tym zaporą ogniową, antyspamem, monitorowaniem plików i blokowaniem niechcianych użytkowników.
  • iThemes Security (wcześniej znany jako Better WP Security) to potężny zestaw narzędzi bezpieczeństwa z możliwością dostosowania, dwuetapowym uwierzytelnianiem i ochroną przed złośliwymi atakami.

Wybierając wtyczkę bezpieczeństwa, należy zwrócić uwagę na jej funkcjonalność, łatwość obsługi, kompatybilność z witryną WordPress i regularne aktualizacje od dewelopera.

Włącz zaporę aplikacji internetowej (WAF)

Web Application Firewall (WA F) to potężne narzędzie do ochrony witryny WordPress przed różnymi rodzajami ataków, takimi jak wstrzykiwanie złośliwego kodu, cross-site scripting (XSS), wstrzykiwanie kodu SQL i wiele innych. WAF działa jak bariera ochronna między witryną a złośliwym ruchem, filtrując potencjalnie niebezpieczne żądania.

Włącz zaporę aplikacji internetowej (WAF)

Istnieją zarówno samodzielne wtyczki WAF dla WordPress, jak i kompletne rozwiązania bezpieczeństwa, które zawierają WAF jako jedną z funkcji. Oto kilka popularnych opcji:

  • NinjaFirewall (WP Edition) to wtyczka zapewniająca kompleksową ochronę WordPress z wbudowanym WAF, skanerem złośliwego oprogramowania i innymi narzędziami bezpieczeństwa.
  • CloudFlare to popularna sieć CDN, która oferuje bezpłatną opcję zapory aplikacji internetowych do filtrowania niechcianego ruchu (polecam).

Wybierając rozwiązanie WAF, należy zwrócić uwagę na jego wydajność, kompatybilność z WordPressem, łatwość konfiguracji i wsparcie techniczne. Ważne jest również, aby wziąć pod uwagę możliwość automatycznej aktualizacji reguł filtrowania w celu ochrony przed najnowszymi zagrożeniami.

Utwórz certyfikat SSL/HTTPS dla swojej witryny WordPress

Przeniesienie witryny WordPress do bezpiecznego protokołu HTTPS wymaga ważnego certyfikatu SSL/TLS. Ten cyfrowy certyfikat szyfruje dane przesyłane między przeglądarką użytkownika a serwerem internetowym, chroniąc poufne informacje przed przechwyceniem przez intruzów.

Utwórz certyfikat SSL/HTTPS dla swojej witryny WordPress

Istnieje kilka opcji uzyskania certyfikatu SSL/TLS dla witryny WordPress:

  • 1. Zakup komercyjnego certyfikatu SSL: Firmy takie jak hostkoss oferują płatne certyfikaty SSL o różnych poziomach walidacji i okresach ważności. Certyfikaty te są w pełni zaufane przez większość przeglądarek i systemów operacyjnych.
  • 2. Użyj darmowego certyfikatu SSL od Let’s Encrypt: Let’ s Encrypt to organizacja non-profit, która zapewnia bezpłatne certyfikaty SSL/TLS z automatycznym odnawianiem. Ich certyfikaty są ważne tylko przez 90 dni, ale są obsługiwane przez wszystkie nowoczesne przeglądarki.
  • 3. Certyfikat SSL/TLS od dostawcy usług hostingowych: Wiele firm hostingowych oferuje certyfikaty SSL w ramach swoich usług hostingowych. Mogą one być komercyjne lub współpracować z Let’s Encrypt w celu zapewnienia bezpłatnych certyfikatów. Jak zainstalować Let’s Encrypt SSL w cPanel

Po otrzymaniu certyfikatu SSL należy go poprawnie skonfigurować dla swojej witryny WordPress. W zależności od hostingu i typu certyfikatu można to zrobić ręcznie za pośrednictwem panelu sterowania.

Podczas konfigurowania certyfikatu SSL/HTTPS ważne jest, aby upewnić się, że wszystkie strony, obrazy, skrypty i inne zasoby w witrynie ładują się poprawnie przez bezpieczne połączenie. Powinieneś także zaktualizować linki do zasobów stron trzecich i sprawdzić działanie buforowania, wtyczek i innych funkcji WordPress po przejściu na HTTPS. Jak używać przekierowań HTTPS w cPanel

Zmiana domyślnej nazwy użytkownika administratora

Zmiana domyślnej nazwy użytkownika administratora w WordPress jest prostym procesem, który znacznie zwiększy bezpieczeństwo Twojej witryny.

Oto przewodnik krok po kroku, jak to zrobić:

  • 1. Zaloguj się do panelu administracyjnego WordPress przy użyciu domyślnego kontaadministratora (admin).
  • 2. Przejdźdo sekcjiUżytkownicy w menu bocznym i wybierz opcję Wszyscy użytkownicy.
  • 3. Znajdź użytkownika o nazwie“admin” na liście i kliknij jego konto, aby otworzyć jego profil.
  • 4. Na stronie edycji profilu użytkownika zmień poleNazwa użytkownika na nową, unikalną i trudną do odgadnięcia nazwę.
  • 5. Po wprowadzeniu zmian nie zapomnij kliknąć przyciskuAktualizuj użytkownika, aby zapisać nową nazwę.

Zalecam użycie długiej kombinacji wielkich i małych liter, cyfr i znaków specjalnych dla nazwy użytkownika administratora. Sprawi to, że będzie ona tak odporna na odgadnięcie, jak to tylko możliwe i ochroni twoją witrynę przed intruzami.

Ważne jest również, aby pamiętać o zmianie haseł do innych kont powiązanych ze starą nazwą administratora. Obejmuje to konta e-mail, konta hostingowe i wszelkie inne usługi, które korzystały ze starej nazwy.

Wyłączenie edycji plików WordPress

Funkcja ta umożliwia edycję kodu źródłowego plików motywów i wtyczek bezpośrednio przez panel administracyjny, co może stanowić potencjalne ryzyko.

Domyślnie możliwość edycji plików jest włączona w WordPress, ale zalecam jej wyłączenie ze względów bezpieczeństwa. Niezamierzone zmiany w kodzie mogą prowadzić do luk w zabezpieczeniach, a nawet całkowitej awarii witryny. Ponadto, jeśli twoje konto zostanie zhakowane, atakujący będą mogli modyfikować pliki według własnego uznania.

Wyłączenie edycji plików WordPress

Wyłączenie edycji plików w WordPress jest prostym procesem, który zajmie tylko kilka minut:

1. Zaloguj się do panelu administracyjnego WordPress jako administrator.

2. Przejdź do sekcjiUstawienia i wybierz opcję Edycja.

3. Usuń zaznaczenie opcji Zezwalaj na edycjęplików.

4. Kliknij przycisk Zapisz zmiany.

Możesz również dodać kod do pliku wp-config.php

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Po wykonaniu tych kroków nie będzie już można edytować kodu pliku za pośrednictwem panelu administracyjnego WordPress. Znacznie zmniejszy to ryzyko przypadkowych lub złośliwych zmian, które mogłyby zakłócić działanie witryny.

Jeśli jednak musisz od czasu do czasu wprowadzać zmiany w plikach motywu lub wtyczek, zawsze możesz to zrobić za pomocą klienta FTP lub menedżera plików hostingu. Jest to bezpieczniejsza metoda, która daje pełną kontrolę nad procesem edycji.

Wyłączenie wykonywania plików PHP w katalogach WordPressa

Jedną z najskuteczniejszych metod zwiększenia bezpieczeństwa jest wyłączenie wykonywania plików PHP w niektórych katalogach witryny WordPress.

Technologia ta pozwala ograniczyć możliwość wykonywania złośliwego kodu PHP w określonych katalogach. Atakujący mogą próbować przesyłać skrypty na serwer, aby uzyskać nieautoryzowany dostęp i kontrolę nad zasobami sieciowymi. Jeśli jednak wykonywanie PHP jest wyłączone dla określonych folderów, takie próby zakończą się niepowodzeniem.

Zalecam wyłączenie wykonywania PHP w katalogach wp-content/uploads i wp-includes.

Proces wyłączania wykonywania PHP jest dość prosty i polega na dodaniu specjalnego kodu do pliku .htaccess znajdującego się w katalogu głównym witryny WordPress. Dowiedz się więcej: Czym jest plik .htaccess: główne funkcje

Oto linie, które należy dodać:

<Files *.php>
deny from all
</Files>

Kod ten mówi serwerowi, aby nie wykonywał żadnych plików PHP w określonym katalogu i jego podkatalogach. Po wprowadzeniu zmian w .htaccess, nawet jeśli atakujący pomyślnie pobiorą złośliwe skrypty PHP, nie będą w stanie ich wykonać.

Ograniczenie prób logowania do panelu administracyjnego WordPress

Ograniczenie liczby prób logowania do witryny WordPress jest niezwykle ważnym krokiem w celu poprawy bezpieczeństwa i ochrony przed złośliwymi atakami.

Jedną z najprostszych metod jest użycie specjalistycznych wtyczek bezpieczeństwa, takich jak Wordfence Security lub Login LockDown. Po zainstalowaniu i aktywowaniu wtyczki można skonfigurować maksymalną liczbę nieudanych prób logowania dozwolonych z jednego adresu IP. Po przekroczeniu tego limitu, dany adres IP zostanie tymczasowo zablokowany.

Ponadto wtyczki te często oferują dodatkowe funkcje bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe lub ochrona przed atakami DDoS.

Kolejną metodą jest wprowadzenie zmian bezpośrednio w pliku .htaccess WordPressa. Dodając określone linie kodu, będziesz w stanie ograniczyć liczbę prób logowania i ustawić czas blokowania. Na przykład ten kod pozwoli tylko na 5 nieudanych prób w ciągu 60 minut z jednego adresu IP:

order allow,deny 
allow from all
deny from unix

# Білий список localhost:

allow from 127.0.0.1

# Невдалі спроби входу в систему:

<Files wp-login.php>
order allow,deny
allow from all

# Дозвольте не більше 5 спроб входу в систему з однієї й тієї самої IP-адреси кожні 60 хвилин:

<limit-logins>
disable-env=off

# Видаліть IP-адресу, коли доступ дозволено або заборонено:

enable-env=allow-logins-env
env=allow-logins-env
maxretries=5  
findrate=60  
</limit-logins>
</Files>

Po dodaniu tego kodu do .htaccess należy ponownie uruchomić serwer WWW, aby zastosować zmiany.

Niektórzy dostawcy hostingu oferują również funkcję ochrony przed atakami typu brute-force na poziomie serwera, która umożliwia blokowanie prób logowania z podejrzanych adresów IP, zanim dotrą one do Twojej witryny. Sprawdź u swojego dostawcy hostingu, czy taka funkcja jest dostępna.

Dodaj uwierzytelnianie dwuskładnikowe (2FA)

Uwierzytelnianie dwuskładnikowe wymaga od użytkowników przejścia przez dwa różne kroki podczas logowania – wprowadzenie nazwy użytkownika i hasła oraz podanie dodatkowego jednorazowego kodu lub tokena zabezpieczającego. Ta dodatkowa weryfikacja sprawia, że proces logowania jest znacznie bezpieczniejszy, nawet jeśli ktoś pozna twoje oryginalne dane uwierzytelniające.

Jednym z najpopularniejszych rozwiązań do implementacji 2FA w WordPress jest wtyczka WP 2FA – Two-factor authentication for WordPress. Po jej zainstalowaniu i aktywacji będziesz mógł włączyć uwierzytelnianie dwuskładnikowe dla dowolnych kont w swojej witrynie, w tym administratora.

Proces konfiguracji:

Video

Od teraz przy każdym logowaniu do witryny WordPress, oprócz wprowadzenia danych uwierzytelniających, wymagane będzie podanie sześciocyfrowego kodu numerycznego w celu weryfikacji ważności sesji. Kod będzie się zmieniał co 30-90 sekund.

Warto pamiętać, że po podłączeniu 2FA należy zapisać kody zapasowe do logowania awaryjnego na wypadek utraty smartfona z aplikacją uwierzytelniającą.

Istnieją inne wtyczki, które pozwalają skonfigurować uwierzytelnianie dwuskładnikowe w WordPress, takie jak Duo Security i inne. Mogą one oferować dodatkowe metody weryfikacji, takie jak SMS lub połączenia telefoniczne.

Zmiana prefiksu bazy danych WordPress

Domyślnie WordPress używa standardowego prefiksu“wp_” dla wszystkich tabel w bazie danych. Atakujący są bardzo dobrze zaznajomieni z tym prefiksem, co sprawia, że ataki na bazę danych są bardziej przewidywalne. Zmieniając prefiks na unikalną kombinację znaków, znacznie utrudnisz zadanie potencjalnym hakerom.

Uwaga: zmiana prefiksu bazy danych może prowadzić do problemów w witrynie, jeśli proces ten zostanie wykonany nieprawidłowo.

Proces zmiany prefiksu bazy danych w WordPress jest dość prosty, ale wymaga ostrożności, ponieważ nieprawidłowe działania mogą prowadzić do utraty danych.

Oto przewodnik krok po kroku:

  • 1. Wykonaj pełną kop ię zapasową bazy danych i wszystkich plików WordPress. Umożliwi to przywrócenie witryny w przypadku wystąpienia problemów.
  • 2. Edytuj plik wp-config. php, znajdując wiersz zaczynający się od $table_prefix = ‘wp_’;. Zastąp “wp_” unikalną kombinacją liter, cyfr i podkreśleń według własnego wyboru. Na przykład: $table_prefix = ‘my8ql_’;
Edytuj plik wp-config.php
  • 3. Korzystając z narzędzi do administrowania bazą danych (na przykład PhpMyAdmin), uruchom zapytanie SQL, aby zmienić przedrostki wszystkich istniejących tabel WordPress, aby pasowały do nowej wartości.
  • 4. Zaktualizuj pliki .htaccess i wszelkie inne pliki, które mogą zawierać odniesienia do starego prefiksu bazy danych.

Oto przykładowe zapytanie SQL zmieniające prefiks na “my8ql_”:

RENAME TABLE `wp_users` TO `my8ql_users`; 
RENAME TABLE `wp_usermeta` TO `my8ql_usermeta`;

... повторіть для всіх таблиць у вашій базі даних WordPress

Po wykonaniu tych kroków baza danych WordPress będzie używać nowego, unikalnego prefiksu. To znacznie utrudni atakującym próbę włamania się lub wstrzyknięcia do bazy danych.

Należy pamiętać, że zmiana prefiksu bazy danych jest operacją nieodwracalną. Jeśli planujesz zainstalować aktualizacje lub nowe wtyczki WordPress w przyszłości, mogą one nie działać poprawnie z powodu nietypowego prefiksu tabeli.

Ochrona hasłem strony administratora i loginu WordPress

Ten krok pozwala ukryć stronę wp-admin i wp-login.php za dodatkową warstwą uwierzytelniania, wymagając od użytkowników wprowadzenia osobnego hasła przed uzyskaniem dostępu do tych krytycznych obszarów administracyjnych.

Jednym z najprostszych sposobów na wdrożenie tej funkcji jest użycie cPanel.

Oto jak to zrobić:

Zaloguj się do cPanel:

  • Wpisz swój adres cPanel w przeglądarce i zaloguj się przy użyciu swoich poświadczeń.

Otwórz sekcję Ochrona hasłem katalogów:

  • Przejdź do sekcjiPliki i wybierz opcję Ochrona hasłem katalogów lub Prywatność katalogów.
Ochrona katalogów hasłem

Znajdź katalog wp-admin:

  • Wybierz główny katalog swojej witryny (zwykle“public_html“) i znajdź folder wp-admin.
public_html
znajdź folder wp-admin.

Ochrona hasłem:

  • Kliknij nazwę folderu wp-admin.
  • Zaznacz pole wyboru “Chroń tenkatalog hasłem”.
  • Wprowadź nazwę chronionego katalogu (nazwa ta będzie wyświetlana użytkownikom).
  • Kliknij przyciskZapisz.
Nazwa ta będzie wyświetlana użytkownikom). Kliknij przycisk Zapisz.

Utwórz użytkownika:

  • Wprowadźnazwę użytkownika i hasło, aby uzyskać dostęp do bezpiecznego katalogu.
  • Kliknij przyciskZapisz lub Dodaj/modyfikuj autoryzowanego użytkownika.

Po tych ustawieniach, aby uzyskać dostęp do stron wp-admin i wp-login. php, użytkownicy będą musieli najpierw wprowadzić specjalne hasło bezpieczeństwa na osobnej stronie uwierzytelniania. Będzie to dodatkowa bariera dla intruzów i pomoże zabezpieczyć panel administracyjny witryny.

Wyłącz indeksowanie i przeglądanie katalogów

Funkcja ta pomaga ukryć strukturę plików i folderów na serwerze przed odwiedzającymi z zewnątrz i wyszukiwarkami. W ten sposób chronisz poufne informacje i zabezpieczasz swoją witrynę przed nieautoryzowanym dostępem.

Proces wyłączania indeksowania i indeksowania katalogów odbywa się poprzez dodanie kilku wierszy kodu do pliku .htaccess znajdującego się w katalogu głównym witryny. Oto przewodnik krok po kroku:

  • Krok 1: Korzystając z klienta FTP lub menedżera plików hostingu, zlokalizuj plik .htaccess w katalogu głównym witryny.
  • Krok 2: Otwórz plik .htaccess do edycji i dodaj następujące linie kodu na jego końcu:
Options -Indexes
IndexIgnore *

Te linie nakazują serwerowi wyłączenie funkcji indeksowania i przeglądania folderu. Oznacza to, że zawartość katalogów będzie ukryta przed odwiedzającymi.

  • Krok 3 (opcjonalnie): Jeśli chcesz uzyskać bardziej szczegółową kontrolę nad ochroną katalogów, możesz dodać kolejną linię kodu:
Options -Indexes -FollowSymLinks

Kod ten wyłączy również możliwość podążania za symlinkami na serwerze, co zwiększy bezpieczeństwo.

  • Krok 4: Zapisz zmiany w pliku .htaccess.

Po zastosowaniu tych zmian nikt poza autoryzowanymi użytkownikami nie będzie mógł przeglądać struktury plików i folderów witryny. Pomoże to chronić witrynę przed włamaniami i nieautoryzowanym dostępem.

Należy jednak pamiętać, że niektóre wtyczki lub usługi mogą wymagać funkcji indeksowania do prawidłowego działania. W takim przypadku można dostosować kod w .htaccess, dodając uprawnienia do odpowiednich katalogów.

Wyłączanie XML-RPC w WordPress

XML-RPC (Remote Procedure Call) to system, który pozwala aplikacjom i usługom komunikować się z WordPressem za pomocą żądań XML. Chociaż funkcja ta jest przydatna do niektórych celów, może również stanowić potencjalne zagrożenie dla bezpieczeństwa, jeśli nie jest używana prawidłowo. Dlatego zalecam wyłączenie XML-RPC w WordPress, aby zwiększyć bezpieczeństwo witryny.

Wyłączenie XML-RPC jest dość proste i wymaga dodania tylko kilku wierszy kodu do pliku .htaccess znajdującego się w katalogu głównym witryny WordPress.

Oto przewodnik krok po kroku:

  • Krok 1: Korzystając z klienta FTP lub menedżera plików, otwórz plik .htaccess w katalogu głównym swojej witryny.
  • Krok 2: Dodaj następujący kod na końcu pliku:
# Вимкнути XML-RPC

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Kod ten nakazuje serwerowi zablokowanie dostępu do pliku xmlrpc.php dla wszystkich odwiedzających, skutecznie wyłączając system XML-RPC w witrynie.

Automatyczne wylogowywanie nieaktywnych użytkowników w WordPress

Funkcja ta pomaga zapobiegać nieautoryzowanemu dostępowi do panelu administracyjnego poprzez otwarte sesje.

Domyślnie WordPress nie ogranicza czasu sesji użytkownika, co stwarza ryzyko, że atakujący mogą wykorzystać niezamkniętą sesję, aby uzyskać dostęp do systemu. Wdrażając automatyczne wylogowywanie po określonym czasie bezczynności, ochronisz swoją witrynę przed takimi zagrożeniami.

Ustawienie automatycznego wylogowywania nieaktywnych użytkowników jest dość proste poprzez dodanie kilku linijek kodu do pliku wp-config.php w katalogu głównym WordPress.

Oto przewodnik krok po kroku:

  • Krok 1: Korzystając z klienta FTP lub menedżera plików hostingu, otwórz plik wp-config.php.
  • Krok 2: Dodaj następujący kod na początku pliku, przed linią zawierającą “Thank you for not deleting this”:
// Автоматичний вихід із системи неактивних користувачів через 30 хвилин

define('AUTOSAVE_INTERVAL', 1800); 
define('WP_SESSION_EXPIRATION', 1800);

Ten kod ustawia czas automatycznego zapisywania zmian na 30 minut i czas trwania sesji na 30 minut. Po 30 minutach bezczynności użytkownicy zostaną automatycznie odłączeni od systemu.

Jeśli chcesz zmienić okres nieaktywności, dostosuj wartość 1800 (w sekundach) do swoich potrzeb.

  • Krok 3: Zapisz zmiany w pliku wp-config.php.

Następnie WordPress automatycznie zamknie sesje użytkowników, które były nieaktywne przez określony czas. Pomoże to zapobiec sytuacjom, w których ktoś może uzyskać dostęp do panelu administracyjnego za pośrednictwem otwartej sesji.

Zarządzanie okresem bezczynności pomoże zachować równowagę między bezpieczeństwem a użytecznością. Zbyt krótki okres może zmusić użytkowników do ciągłego logowania, podczas gdy zbyt długi okres zwiększa ryzyko. 30 minut jest uważane za rozsądny kompromis dla większości stron internetowych.

Zalecenia od zespołu hostkoss

Jeśli chodzi o bezpieczeństwo witryny WordPress, należy zachować ostrożność i przyjąć zrównoważone podejście do instalowania wtyczek. Nadmierne obciążenie planu hostingowego może negatywnie wpłynąć na wydajność witryny i spowodować problemy z jej dostępnością.

Podkreślamy, że nie należy instalować wszystkich dostępnych wtyczek bezpieczeństwa na raz. Zamiast tego lepiej jest dokładnie przeanalizować swoje bieżące potrzeby i wybrać tylko najbardziej potrzebne narzędzia, które będą pasować do wybranego planu hostingowego i jego ograniczeń zasobów.

W przypadku witryn WordPress hostowanych na niedrogich planach hostingowych z ograniczonymi zasobami zaleca się rozpoczęcie od podstawowych środków bezpieczeństwa, takich jak zmiana prefiksu bazy danych, używanie silnych haseł, konfigurowanie automatycznego wylogowywania nieaktywnych użytkowników i instalowanie minimum wtyczek bezpieczeństwa. Wraz ze wzrostem zapotrzebowania na zasoby witryny można stopniowo dodawać dodatkowe narzędzia bezpieczeństwa.

Właścicielom projektów o wysokich wymaganiach w zakresie bezpieczeństwa i wydajności zalecamy zakup dedykowanego hostingu WordPress z potężnymi zasobami. Takie plany taryfowe pozwolą na wdrożenie kompleksowych środków bezpieczeństwa bez ryzyka przeciążenia serwera.

Zalecamy również zapoznanie się z innymi naszymi artykułami, w których można znaleźć dodatkowe wskazówki i instrukcje. Linki do nich znajdują się poniżej:

Jeśli masz jakiekolwiek pytania lub problemy podczas konfigurowania zabezpieczeń witryny, nie wahaj się skontaktować z naszym zespołem pomocy technicznej za pośrednictwem czatu na żywo lub utworzyć bilety pomocy technicznej. Zawsze chętnie pomożemy i zapewnimy, że Twoja witryna WordPress jest bezpieczna i stabilna.

Ten artykuł został zrecenzowany przez Andrii Kostashchuk.

Pytania i odpowiedzi dotyczące bezpieczeństwa WordPress

Dlaczego ważne jest regularne aktualizowanie WordPressa, wtyczek i motywów?

Regularne aktualizacje zapewniają ochronę przed wykrytymi lukami i poprawkami błędów w kodzie. Nieaktualne wersje WordPressa, motywów lub wtyczek mogą zawierać luki w zabezpieczeniach znane atakującym, przez co witryna może być podatna na ataki i włamania.

Jak chronić panel administracyjny WordPress?

Aby chronić panel administratora, zaleca się zmianę domyślnej nazwy użytkownika administratora, używanie silnych i unikalnych haseł, skonfigurowanie uwierzytelniania dwuskładnikowego, ustawienie ochrony hasłem dla stron logowania i administracyjnych oraz ograniczenie liczby prób logowania.

Dlaczego ważne jest wyłączenie nieużywanych funkcji WordPress?

Wyłączenie nieużywanych funkcji, takich jak edycja plików w panelu administracyjnym, uruchamianie PHP w oddzielnych katalogach lub XML-RPC, zmniejsza potencjalne wektory ataku i zmniejsza ryzyko wykorzystania luk w zabezpieczeniach.

Co to jest atak brute-force i jak się przed nim chronić?

Atak brute-force to metoda odgadywania danych uwierzytelniających poprzez wypróbowywanie różnych kombinacji nazw użytkownika i haseł. Aby się przed nim chronić, zaleca się ustawienie limitu liczby prób logowania, używanie złożonych i unikalnych haseł oraz skonfigurowanie uwierzytelniania dwuskładnikowego.

Dlaczego ważne jest regularne skanowanie witryny pod kątem złośliwego oprogramowania i luk w zabezpieczeniach?

Regularne skanowanie pomaga zidentyfikować potencjalne zagrożenia, takie jak złośliwe oprogramowanie, zhakowane skrypty lub znane luki w kodzie. Pozwala to na podjęcie niezbędnych środków w celu naprawienia wykrytych problemów w odpowiednim czasie i poprawy ogólnego bezpieczeństwa witryny WordPress.

Przydatne artykuły związane z WordPress

O autorze

Lenka Siker

Lenka jest doświadczoną programistką, która wie, jak poruszać się po różnych platformach i systemach. Uzbrojona w ponad trzyletnie doświadczenie, jest w stanie zarządzać systemami CMS, takimi jak Drupal, TYPO3 i Concrete5, a także biegle posługuje się WordPressem, który obsługuje niezliczone strony internetowe na całym świecie.

Zobacz wszystkie artykuły