wordpress

Bezpieczny WordPress profesjonalisty – kompletny przewodnik.

W Internecie krąży wiele dobrych wskazówek, jak zabezpieczyć WordPressa. Niestety wiele z nich nie jest zbyt dobrych, ponieważ nie ma prawdziwego zabezpieczenia WordPressa dzięki prostej instalacji wtyczki. Jest to koncepcja miar, które wzajemnie na sobie bazują. W tym poście pokażę Ci jak sprawić, by Twój WordPress był odporny na wszystko.

Luki bezpieczeństwa WordPress

Wyjaśnijmy ważne pytanie, w jaki sposób WordPress jest głównie hackowany (i może zostać zhakowany).

  1. Bardzo łatwe do zapamiętania i zdecydowanie za krótkie hasła (!)
  2. Przestarzałe wersje WordPressa — z każdą nową wersją ujawniają się luki w zabezpieczeniach starych
  3. Nieaktualne wersje wtyczek — wtyczki mają również rażące luki w zabezpieczeniach.
  4. Ataki brute force na dostęp administratora ad
  5. Brute force ataki na xmlrpc.phpplik
  6. Wstrzykiwanie SQL przez formularze
  7. Dostępne zewnętrznie pliki WordPress

Bezpieczeństwo WordPress zaczyna się od Twojego hasła

Zabezpieczanie WordPressa bez naprawdę dobrego i bezpiecznego hasła na nic się nie zda. Wszystko, co jest łatwe do zapamiętania, jest łatwe do złamania, a to byłoby fatalne w skutkach. Dlatego upewnij się, że masz mocne hasło składające się z liter, cyfr, znaków specjalnych oraz wielkich i małych liter.

Dobre hasło powinno mieć 30 cyfr. Możesz już skorzystać z menadżera haseł w przeglądarce.

Aktualizacje

Prawdopodobnie już czytałeś, że należy aktualizować WordPress i wtyczki na bieżąco. Musisz to zrobić! W przeciwnym razie prosisz o zhakowanie. Ponadto często używane są wtyczki, które są uważane za konsekwentnie niebezpieczne – na przykład Revolution Slider. Nawiasem mówiąc od WordPress 5.5 możesz automatycznie aktualizować wtyczki.

Ataki brute-force

Tutaj próbujesz uzyskać dane dostępowe. Czasami wypróbowuje się tysiące odmian nazw użytkowników i haseł. Ataki te zawsze kończą się sukcesem, ponieważ nazwa użytkownika to zazwyczaj admin, a hasło jest krótkie i łatwe do zapamiętania.

Często przeprowadzany jest również atak na xmlrpc.phpplik, który służy na przykład do publikowania wpisów za pośrednictwem poczty e-mail. Ten plik zapewnia również pełny dostęp do strony internetowej.

Wstrzykiwanie SQL przez formularze

Podejmowane są próby wstrzyknięcia złośliwego kodu do niezabezpieczonych formularzy (a także bezpośrednio w wierszu adresu przeglądarki). Jeśli to się powiedzie, odwiedzający Twoją witrynę zostaną zainfekowani wirusami i trojanami, po prostu wywołując witrynę. Zauważysz to tylko wtedy, gdy Twój usługodawca hostingowy wyłączy witrynę lub Google usunie stronę z indeksu.

Pliki WordPress dostępne z zewnątrz

Nie każdy host internetowy ma bezpieczną konfigurację swoich pakietów hostingowych lub serwerów. Czasami pliki WordPress są dostępne z zewnątrz. Popularnymi celami są tutaj install.phpa także wp-config.php.

Bezpieczny WordPress – Wszystko jest w Twoich rękach.

Uważając na powyższe kwestie Twoja witryna internetowa będzie cieszyć się długim, sprawnym, a co najważniejsze bezpiecznym działaniem. Jeśli chciałbyś, aby Twoja witryna była bezpieczna lub masz jakieś pytania, skontaktuj się z Nami!

reklama facebook

Jak przenieść WordPressa na inny serwer?

Przeniesienie witryny na nowego hosta może być zniechęcającym i stresującym doświadczeniem, ale nie musi. Mimo że istnieją ważne kroki, aby migrować witrynę WordPress, jeśli zastosujesz się do naszego przewodnika, możesz odnieść sukces.

Wiele osób zmaga się z koniecznością przeniesienia się do nowego gospodarza z powodu problemów z obecnym dostawcą i zniechęca je to. Jednak zbyt często migracja do bardziej niezawodnego hosta jest wielokrotnie opóźniana z obawy przed popełnieniem błędu
i uszkodzeniem witryny (witryn).

Aby obejść ten problem, użytkownicy mogą zapłacić dużą opłatę za przeniesienie witryny przez profesjonalistę lub wyszukać nowego hosta, który oferuje usługę migracji w ramach nowego pakietu hostingowego.

Przyjrzyjmy się krokom wymaganym do przeniesienia witryny WordPress na nowego hosta, ale zanim zaczniemy pokazywać jak możesz migrować swoją witrynę, pamiętaj, że wiele najlepszych firm hostingowych WordPress przeniesie ją za Ciebie. Jeśli właśnie kupiłeś nowy plan hostingowy i chcesz przenieść swoją witrynę, najpierw skontaktuj się z nowym dostawcą usług hostingowych, aby sprawdzić, czy oferuje on bezpłatną migrację.

Krok 1: Utwórz kopię zapasową plików witryny

Pierwszym krokiem przed migracją jest utworzenie kopii zapasowej każdego aspektu witryny. Powinno to być częścią ogólnego bezpieczeństwa WordPress i jest dobrą praktyką przed każdą większą zmianą. Ale jest to również wymóg migracji instalacji WordPress, ponieważ przenoszonych jest tak dużo danych.

Jak więc utworzyć kopię zapasową witryny? Istnieje wiele wtyczek, których możesz użyć do tworzenia kopii zapasowych WordPress. Za pomocą wtyczki do tworzenia kopii zapasowych zazwyczaj instalujesz, a następnie korzystasz z wbudowanych ustawień, aby zarządzać plikami, które mają być archiwizowane, ustalasz także jak często i gdzie są one przechowywane.
Jeśli chcesz użyć wtyczki, jedną z najlepszych opcji jest WPvivid. Ta wtyczka oferuje mnóstwo potężnych opcji tworzenia kopii zapasowych do planowania, punktów przywracania, ograniczania plików, filtrowania dużych plików, dzielenia kopii zapasowych, motywów i wtyczek do tworzenia kopii zapasowych, kompatybilności ze zdalną pamięcią masową, obsługi wielu lokalizacji i nie tylko.

Alternatywnie możesz zastosować bardziej manualne podejście. Aby zapewnić szybkie podsumowanie, ręczne kopie zapasowe wymagają narzędzia do przesyłania plików (FTP) w celu uzyskania dostępu do plików witryny. Dwa popularne programy FTP to FileZilla (PC) i Transmit (Mac). Po zainstalowaniu musisz użyć danych logowania SFTP (z konta usługodawcy hostingowego), aby połączyć się z serwerem witryny. Po nawiązaniu połączenia wybierz i pobierz wszystkie pliki z katalogu serwisu WWW. Obejmuje to plik .htaccess, który ma być ukryty. Zapoznaj się z plikiem pomocy programu FTP, aby wyświetlić ukryte pliki, jeśli nie możesz wyświetlić tego pliku.

W zależności od liczby przesłanych multimediów w witrynie może to zająć trochę czasu.
W trakcie pobierania możemy rozpocząć krok drugi i wykonać kopię bazy danych.

Krok 2: Eksportuj bazę danych WordPress

Eksportowanie bazy danych to prosty proces, który wymaga tylko kilku kroków. Zaloguj się do konta cPanel swojego serwera WWW i otwórz aplikację phpMyAdmin. Wybierz bazę danych zawierającą instalację WordPress z listy na lewym pasku bocznym i po wybraniu kliknij kartę Eksportuj w menu nawigacyjnym.

Domyślne ustawienia szybkiego eksportu i formatu SQL do eksportu są wystarczające do tego, czego potrzebujemy. Kliknij przycisk Go, aby rozpocząć proces eksportu bazy danych i plik zostanie pobrany na komputer lokalny.

Po zakończeniu eksportu bazy danych i transferu plików przez FTP, możesz przejść do następnego etapu.

Krok 3: Utwórz bazę danych WordPress na swoim nowym serwerze hosta

Zanim będziemy mogli rozpocząć migrację do nowego hosta internetowego, musimy stworzyć środowisko do instalacji WordPress. Aby to zrobić, musisz utworzyć bazę danych, do której będziesz mógł importować dane SQL.

Zaloguj się do nowego hosta internetowego, korzystając z danych logowania użytkownika, które Ci dostarczyli, i połącz się z oprogramowaniem cPanel. W naszym przewodniku będziemy używać aplikacji MySQL Databases. Jeśli Twój usługodawca hostingowy nie ma uruchomionej tej aplikacji, skontaktuj się z jego zespołem pomocy technicznej, aby odkryć metodę tworzenia nowych baz danych.

Kroki tworzenia bazy danych są dość proste:

Otwórz bazę danych MySQL i utwórz nową bazę danych o odpowiedniej nazwie dla swojej witryny.
Utwórz nowego użytkownika MySQL (z bezpiecznym hasłem).
Dodaj to konto użytkownika do nowej bazy danych i nadaj mu wszystkie uprawnienia.
Zapisz nazwę bazy danych, nową nazwę użytkownika MySQL i hasło. Wkrótce będziesz ich potrzebować.

Krok 4: Edytuj plik wp-config.php

Przejdź do folderu na komputerze lokalnym, do którego pobrałeś pliki serwisu WWW.
W tym folderze znajduje się plik o nazwie wp-config.php, który kontroluje dostęp między WordPress a bazą danych.

Utwórz kopię tego pliku i zapisz go w innym folderze na komputerze lokalnym. Jest to konieczne, aby przywrócić zmiany, które zamierzamy wprowadzić, gdyby później coś poszło nie tak.

Otwórz oryginalną wersję pliku w ulubionym edytorze tekstu i wprowadź następujące trzy zmiany:

  1. Zmień nazwę bazy danych
    Znajdź następujący wiersz:

define (’DB_NAME’, 'db_name’);
Część db_name w tym wierszu będzie obecnie ustawiona na nazwę bazy danych MySQL starego hosta internetowego. Należy to zmienić na nazwę nowo utworzonej bazy danych.

  1. Zmień nazwę użytkownika bazy danych
    Poniżej znajduje się wiersz:

define (’DB_USER’, 'db_user’);
W tej linii musisz zmienić część db_user z nazwy użytkownika starego hosta, aby pasowała do nowej nazwy użytkownika, którą właśnie utworzyłeś.

  1. Zmień hasło użytkownika bazy danych
    Na koniec edytuj trzecią linię:

define (’DB_PASSWORD’, 'db_pass’);
Podobnie jak w przypadku innych, sekcja db_pass tej linii musi zostać zmieniona na nowe bezpieczne hasło utworzone dla użytkownika MySQL.

Zapisz wp-config.php i zamknij plik.

Krok 5: Importuj bazę danych WordPress

Teraz, gdy masz nową bazę danych do pracy, możemy rozpocząć proces importu.

Uruchom phpMyAdmin z oprogramowania cPanel na nowym serwerze i wybierz nową bazę danych z listy na pasku bocznym po lewej stronie. Po otwarciu wybierz kartę Importuj
z menu nawigacyjnego.

W sekcji Plik do importu kliknij przycisk Wybierz plik i wybierz wcześniej wyeksportowany plik SQL.

Usuń zaznaczenie pola wyboru Import częściowy, upewnij się, że format jest ustawiony na SQL, a następnie kliknij przycisk Przejdź. Rozpocznie się import bazy danych.

Czas trwania tego importu zależy od rozmiaru bazy danych. Po zakończeniu importu powinieneś otrzymać wiadomość informującą o powodzeniu importu.

Krok 6: Prześlij pliki WordPress do nowego hosta

Po przygotowaniu nowej bazy danych i ponownej konfiguracji pliku wp-config.php nadszedł czas, aby rozpocząć przesyłanie plików witryny.

Połącz się z nowym usługodawcą hostingowym za pomocą programu FTP i przejdź do folderu, w którym ma znajdować się Twoja witryna. Jeśli jest to główna lub jedyna witryna instalowana na tym serwerze sieciowym, przesyłanie plików do folderu public_html jest zwykłym katalogiem.

Po wybraniu zdalnego katalogu możesz przesłać pliki swojej witryny, które powinny teraz zawierać zaktualizowaną wersję wp-config.php. Podobnie jak w przypadku wcześniejszego pobierania, ten proces może zająć trochę czasu.

Nie usuwaj tych plików z komputera lokalnego po zakończeniu przesyłania. Nadal są potrzebne do zakończenia ostatnich kroków.

Krok 7: Definiowanie nowej domeny
i wyszukiwanie / zamienianie starej domeny

Jeśli przenosisz się do nowej / innej domeny, przeczytaj ten krok, jeśli nie, możesz go pominąć, ponieważ nie musisz aktualizować swojej witryny, aby wskazywała na inną domenę.

Jednym z problemów, które ludzie zawsze napotykają podczas przenoszenia swojej witryny, jest to, że dodali linki do innych postów w swojej witrynie lub wstawili obrazy bezpośrednio, wskazując adres URL na serwerze, co powoduje, że po przeniesieniu do nowej domeny nie działają. Jeśli chcesz szybko i łatwo wyszukać jakiekolwiek wystąpienia swojej starej nazwy domeny i zamienić je na nową, proponujemy zapoznać się ze skryptem Search Replace DB na github. Pozwoli ci to zrobić to z wielką łatwością. Po prostu upewnij się, że USUWASZ go po zakończeniu (ze względów bezpieczeństwa) i nie umieszczaj go w domenie głównej, utwórz folder tymczasowy z losową nazwą do hostowania skryptu.

Zmiana adresu URL witryny: wykonując wyszukiwanie i zastępując starą domenę oraz zastępując ją nową, zmienisz również wartości site_url i home url w bazie danych (zmiana adresu URL witryny), co zapewni, że przy próbie zalogowania do Twojej witryny w nowej domenie, nie próbuje przekierować Cię do starej domeny.

Krok 8: Ostatnie poprawki

Ten krok w rzeczywistości obejmuje dwa oddzielne mini kroki z (potencjalnie) kilkudniowymi przerwami między nimi.

Po pierwsze – zanim będziesz mógł korzystać z witryny na nowym hoście, musisz ponownie skonfigurować ustawienia DNS domeny. Zostaną ustawione tak, aby wskazywały na twój stary host i będziesz musiał wskazać poprawne rekordy na nowy adres IP serwera.

Ten proces będzie zależał od miejsca zarejestrowania domeny. Szczegóły dotyczące ukończenia tego procesu są zbyt zróżnicowane, aby omówić je w tym poście, ale rejestrator domeny powinien dysponować wszystkimi szczegółami potrzebnymi do wprowadzenia tej zmiany.

Pełne rozpowszechnienie zmian DNS może zająć do 48 godzin. Najlepiej robić to
w okresie, gdy spodziewasz się mniejszego ruchu. W tym 48-godzinnym oknie należy unikać dokonywania jakichkolwiek zmian w witrynie, ponieważ być może zmieniasz starą wersję witryny.

Po drugie – po upływie 48-godzinnego okresu powinieneś mieć teraz dostęp do nowego hosta internetowego, gdy wchodzisz na swoją stronę internetową. W tym momencie możesz połączyć się ze starym usługodawcą hostingowym, aby usunąć pliki i bazę danych. Nadal powinieneś mieć lokalną kopię zapasową tych plików i eksport bazy danych, wraz
z oryginalnym plikiem wp-config.php na wypadek konieczności cofnięcia migracji. Dobrym pomysłem może być przechowywanie tych plików przez dłuższy czas, aby zachować bezpieczeństwo.

Jak widać po rozbiciu na powyższe proste kroki proces nie jest taki trudny. Wszystko czego naprawdę wymaga to ostrożność na każdym kroku i umożliwienie sobie powrotu do pierwotnej wersji do ostatniej możliwej chwili (w razie jakichkolwiek problemów).