Higit sa 40% ng nangungunang 10 milyong website online ang gumagamit ng WordPress. Ngunit ligtas ba ang WordPress? Ang maikling sagot sa tanong na ito ay oo – Ligtas ang WordPress. Gayunpaman, hindi ito nangangahulugan na ang WordPress ay walang anumang mga kahinaan.
Sa kabutihang palad, ang komunidad ng WordPress ay nagdokumento ng maraming karaniwang mga kahinaan sa WordPress, na ginagawang madali para sa mga admin ng website na magdagdag ng mga layer ng seguridad sa kanilang site. Sa artikulong ito, tatalakayin ko ang 5 madaling paraan upang gawing mas secure ang iyong WordPress website.
1. Magkaroon ng Mga Natatanging Admin Username at Malakas na Mga Password sa Pag-login
Ang admin login page ay ang unang linya ng depensa para sa iyong WordPress website. Dito maaaring magkaroon ng access ang sinumang administrator o user sa “back-end” ng iyong site at gumawa ng mga pagbabago sa site, mag-input o mag-extract ng data ng user/customer, o magdagdag o mag-alis ng mga file at feature ng site – basta binigyan sila ng pahintulot na gawin iyon. .
Gayunpaman, magagamit din ng mga masasamang aktor ang login page na ito bilang gateway para sa pag-atake laban sa iyong site. Halimbawa, sa "Taong ganid Force” pag-atake, ang mga hacker ay paulit-ulit na sumusubok na hulaan ang iyong mga kredensyal sa pag-log in upang makakuha ng access sa iyong site.
Hindi magtatagal para matagumpay na makapasok ang mga hacker na ito sa sensitibong impormasyon ng iyong site kung gumagamit ka ng isang pangkaraniwang username at password ng administrator (tulad ng “admin” para sa username, at “password1234” para sa password).
Dahil dito, ang unang madaling bagay na magagawa mo upang gawing mas secure ang iyong site ay gumamit ng mga natatanging username at malakas na password para sa mga kredensyal sa pag-log in sa site. Gusto mo ring tiyakin na ang iyong username at password ay natatangi sa iyong WordPress website at hindi ginagamit para sa iba pang mga lokasyon sa pag-log in (tulad ng iyong online banking o social media login). Magdaragdag ito ng karagdagang layer ng seguridad.
Kung, sa kabilang banda, nire-recycle mo ang iyong mga username at password sa maraming site, ang lahat ng mga site na gumagamit ng mga kredensyal na ito ay malalagay sa panganib sa sandaling ang isa sa mga ito ay nakompromiso ng isang hacker.
Kung nag-aalala ka tungkol sa pagkawala ng iyong impormasyon sa pag-log in, gumawa ng papel na kopya ng impormasyon (siguraduhing isama ang tamang capitalization!). Itago ang papel na kopya sa isang ligtas na lokasyon kung saan ikaw lamang at mga pinagkakatiwalaang tao ang may access (tulad ng nakakandadong filing cabinet).
Bukod pa rito, maaari mong paganahin ang two-factor authentication o isang minsanang password (OTP) para sa iyong WordPress login page. Magbibigay ito ng isa pang layer ng seguridad para sa higit pang mga antas ng proteksyon. Halimbawa, ang Plugin ng seguridad ng WordPress SG Security (na kasama SiteGround hosting plans) ay may kasamang feature na "Two-factor Authentication" na gumagamit ng Authenticator Plugin ng Google. Nangangahulugan ito na kahit na nahulaan ng isang hacker ang iyong admin username at password, kakailanganin pa rin nilang malaman ang random na nabuong authentication code upang makakuha ng access sa backend ng iyong site.
2. Gamitin ang Pinakabagong Bersyon ng WordPress
Ang isa pang madaling paraan upang mapanatiling ligtas ang iyong site ay ang palaging gamitin ang pinakabagong bersyon ng WordPress. Ang WordPress ay tumatakbo sa isang "cycle ng paglabas" na naglalabas ng mga bagong bersyon ng core code bawat 4 na buwan o higit pa. Bagama't ang mga bagong bersyon ng WordPress ay maaaring minor o major, halos palaging naglalaman ang mga ito ng mga update sa seguridad.
Ang mga update na ito ay batay sa pinakabagong impormasyon mula sa mga mapagkukunan tulad ng Buksan ang Web Application Security Project (OWASP Foundation), "isang online na komunidad na nakatuon sa seguridad ng web application."
Sa kabutihang palad, ang WordPress at bawat isa sa mga bagong bersyon ng paglabas nito ay palaging libre upang mai-install sa iyong site. At, sa karamihan ng mga kaso, awtomatikong ia-update ng WordPress ang iyong site sa pinakabagong bersyon (maliban kung partikular mong sasabihin na huwag o gumagamit ng bersyon na mas luma kaysa sa WordPress 3.7).
Dagdag pa, ang pangunahing koponan ng WordPress ay gumugugol ng maraming pagsisikap sa paggawa ng mga bagong bersyon ng WordPress pabalik na katugma. Nangangahulugan lamang ito na ang mga bagong bersyon ng WordPress ay idinisenyo upang gumana sa iyong mga umiiral nang tema, plugin, at custom na code.
Maaari mong tingnan kung ang iyong site ay na-update sa pinakabagong bersyon sa pamamagitan ng pag-navigate sa Dashboard>Mga Update (dilaw na arrow sa larawan sa itaas). Dito, makikita mo kung anong bersyon ng WordPress ang iyong ginagamit at kung ito ang pinakabagong bersyon na magagamit (pulang arrow sa larawan sa itaas).
Isang mahalagang bagay na dapat tandaan ay hindi mo gustong "tumalon" sa pinakabagong bersyon ng WordPress kung gumagamit ka ng mas lumang bersyon.
Halimbawa, kung gumagamit ka ng WordPress 4.9 (inilabas noong 2017) sa iyong live na site, hindi ko inirerekomenda na subukang mag-update nang diretso sa WordPress 6.2 (ang pinakabagong bersyon sa panahon ng artikulong ito). Masisira nito ang mga bagay.
Sa halip, maaari mong i-download at i-install mga nakaraang release sa iyong website at dahan-dahang i-update ang iyong site. Dagdag pa, gugustuhin mong i-back up ang mga file ng iyong site bago isagawa ang iyong mga update. Inirerekomenda kong mag-check out ang artikulong ito sa iba't ibang hakbang na dapat gawin bago, habang, at pagkatapos i-back up ang iyong WordPress site. Ito ay tiyak na isang proseso, ngunit ito ay magliligtas sa iyo ng sakit ng ulo ng pag-crash sa iyong site at sinusubukang ayusin ang lahat pagkatapos ng katotohanan.
Tandaan na kapag mas luma ang iyong kasalukuyang bersyon ng WordPress, magiging mas nakakapagod at delikado ang prosesong ito. Ito ang higit na dahilan para panatilihing napapanahon ang iyong bersyon ng WordPress sa lahat ng oras!
3. I-update ang Iyong Tema sa Pinakabagong Bersyon, Plus I-uninstall ang Mga Hindi Nagamit na Tema
"Pinapatigas" ng WordPress ang seguridad ng mga default na tema nito sa pamamagitan ng patuloy na pagbuo, pag-ulit, at pagpapalabas ng mga bagong bersyon ng tema. Nangangahulugan ito na dapat mong palaging gamitin ang pinakabagong default na tema mula sa WordPress kapag magagawa mo dahil magkakaroon ito ng lahat ng pinakabagong mga update sa seguridad na built-in.
Sa kabutihang palad, madaling sabihin kung aling default na tema ang pinakabago dahil pinangalanan nila ang bawat bagong tema pagkatapos ng kasalukuyang (o paparating) na taon kung kailan ilalabas ang tema. Halimbawa, ang temang inilabas nila noong 2023 ay tinatawag na "Twenty Twenty-Three."
Bukod sa mga update sa seguridad, ang mga bagong default na tema ay naglalaman din ng maraming mga bagong tampok na idinisenyo upang gawing mas madali at mas kasiya-siya ang pagdidisenyo ng iyong mga website. Dagdag pa rito, madalas silang may kasamang mga pagpapahusay sa pagganap upang gawing mas mahusay ang pagganap ng iyong site at sa gayon ay matulungan kang makakuha ng mas maraming trapiko.
Hindi sigurado kung paano i-update ang iyong mga tema sa WordPress? Ipinakita ko sa iyo kung paano sa aking WordPress para sa Mga Nagsisimula 2023: Walang-Code WordPress Masterclass sa Udemy.
Magpasya ka man na gamitin ang pinakabagong default na tema para sa iyong WordPress site o manatili sa temang kumportable ka, dapat mong palaging tanggalin ang anumang hindi aktibo o hindi nagamit na mga tema sa back-end ng iyong site. Ito ay dahil ang mga hindi nagamit na tema (lalo na ang mga mas lumang tema o mga third-party na tema) ay maaaring may mga kahinaan sa seguridad na nagpapadali para sa mga hacker na makakuha ng access at pag-atake sa iyong site.
4. I-update ang Mga Plugin sa Kanilang Pinakabagong Bersyon at Suriin ang Pagkatugma
Isa sa mga bagay na nagpapaganda sa WordPress ay ang pagsasama nito ng mga third-party na plugin. Gayunpaman, hindi lahat ng plugin ay ginawang pantay at ang ilan sa mga ito ay maaaring aktwal na lumikha ng mga kahinaan sa seguridad para sa iyong site.
Sa kabutihang palad, may ilang madaling bagay na maaari mong gawin upang mabawasan ang panganib ng mga banta sa seguridad na nilikha ng mga plugin.
Para sa mga nagsisimula, palaging inirerekomenda na ikaw mag-download at mag-install ng mga plugin ng WordPress mula sa WordPress repository. Ito ay dahil ang mga plugin na nakalista dito ay kailangang suriin at aprubahan ng WordPress Security Team bago maging available para sa pag-download. Mahahanap mo ang mga plugin na ito sa pamamagitan ng ang direktang link na ito sa repository ng plugin, o mula mismo sa loob ng WP Admin Area ng iyong site sa pamamagitan ng pagpunta sa Plugins>Add New (dilaw na arrow sa larawan sa ibaba).
Kapag nagpapasya kung aling plugin ang ida-download para sa iyong WordPress site, lubos kong inirerekomenda ang paggamit ng mga plugin na nakalista bilang "tugma sa iyong bersyon ng WordPress." Sa kabutihang palad, sasabihin sa iyo ng WordPress kung ang iyong plugin at bersyon ng WordPress ay tugma mula sa direkta sa loob ng direktoryo ng Plugin (pulang arrow sa larawan sa itaas). Ang mga plugin na hindi pa nasubok laban sa pinakabagong bersyon ng WordPress ay magpapakita ng mensahe: "Hindi pa nasubok sa iyong bersyon ng WordPress" (asul na arrow sa larawan sa itaas).
Bagama't maaaring gumana nang maayos ang mga "hindi pa nasubok" na plugin sa iyong bersyon at tema ng WordPress, maaaring may mga hindi pa natuklasang kahinaan sa seguridad na naka-attach sa mga plugin na ito. Kaya, gumamit ng mga naturang plugin nang may pag-iingat sa iyong website.
Tandaan na ang Sinasabi ng WordPress sa kanilang Security White Paper: "Ang pagsasama ng mga plugin at tema sa repositoryo ay hindi isang garantiya na sila ay libre mula sa mga kahinaan sa seguridad." Dahil dito, ang mga plugin na may mga kilalang "malubhang kahinaan" ay aalisin sa repositoryo, at maaari pang ayusin ng Security Team ng WordPress bago i-repost sa repositoryo.
Sa wakas, sa sandaling mayroon ka nang mga plugin na naka-install sa iyong site, gugustuhin mong tiyaking mapapanatili mong napapanahon ang lahat ng ito. Ang mga developer ng plugin ay karaniwang nagpapakilala ng mga update sa seguridad at pag-aayos sa kanilang mga bagong bersyon. Kaya, sa pagkakaroon ng pinakabagong bersyon ng isang plugin, tinitiyak mong mayroon ka ng lahat ng pinakabagong update sa seguridad na magagamit para sa plugin na iyon sa iyong site. Tulad ng hindi ginagamit o hindi aktibong mga tema, inirerekomenda ko rin na i-deactivate at i-uninstall mo ang anumang hindi nagamit na mga plugin sa iyong site upang mabawasan ang mga pagkakataong lumikha ng kahinaan sa seguridad sa ibang pagkakataon ang anumang naturang mga plugin.
Kung hindi ka sigurado kung paano i-update ang mga plugin sa WordPress, lubos kong inirerekumenda na suriin ang prosesong ito sa aking WordPress para sa Mga Nagsisimula 2023: Walang-Code WordPress Masterclass sa Udemy.
5. Magdagdag ng SSL Certificate sa Iyong Domain
Ang huling madali paraan upang magdagdag ng higit pang seguridad sa iyong WordPress site sa 2023 ay ang magdagdag ng SSL Certificate sa iyong domain.
Ang SSL (Secure Socket Layer) Certificates ay mahalagang nagpapatunay na ang nilalaman na nakikita ng iyong mga bisita sa site ay nagmumula sa aktwal na lumikha ng nilalaman, at hindi isang impostor o mapanlinlang na website. Sa madaling salita, bini-verify nito na ang lahat ay lehitimo mula sa direkta sa loob ng browser ng user.
Ang mga site na may wastong pagkaka-set up ng SSL Certificate ay magkakaroon ng icon ng lock sa tabi ng URL ng site sa search bar ng browser. Halimbawa, kung titingnan mo ang tuktok ng website na ito sa Chrome browser ng Google, makakakita ka ng icon ng lock sa tabi ng pangunahing URL (pulang arrow sa larawan sa itaas). Kapag na-click mo ang icon ng lock, makakakita ka ng linyang nagsasabing "Secure ang koneksyon." Ito ang Google na nagpapatunay na ang koneksyon sa pagitan ng website na ito at ng web browser ng bisita ay secure at pribado.
Ang mga SSL Certificate ay lalong mahalaga para sa anumang website na nangongolekta ANUMANG uri ng data ng gumagamit. Kabilang dito ang simpleng impormasyong nakalap mula sa isang form sa pakikipag-ugnayan (ibig sabihin, pangalan, email, numero ng telepono, atbp.), pati na rin ang mas kumplikado o pribadong impormasyon na, halimbawa, ay kukunin mula sa isang site ng eCommerce (ibig sabihin, mga numero ng credit card, address, atbp.). Sa pamamagitan ng paggawang secure ng koneksyon sa pagitan ng website at ng mga bisita sa site, pinahihirapan ng mga SSL certificate para sa mga hacker na nakawin ang impormasyong ipinagpapalit sa pagitan ng dalawang partido.
Ang ilang mga kumpanya ng pagho-host ng website ay naniningil para sa isang SSL Certificate, habang ang iba (tulad ng SiteGround) ay mag-aalok ng a libreng SSL Certificate. Karamihan sa mga provider ng pagho-host ay dapat mag-alok ng SSL Certificate, pati na rin magbigay ng mga tagubilin kung paano i-install ito sa iyong WordPress website.
Bilang karagdagang bonus, ang mga search engine tulad ng Google ay may posibilidad na magraranggo ng mga website na may mga SSL Certificate na mas mataas kaysa sa mga walang nito. Sa madaling salita, hindi lamang ginagawang mas secure ng mga SSL Certificate ang iyong mga site, makakatulong din ang mga ito sa iyong site na makakuha ng mas maraming trapiko.
Iyon lang para sa artikulong ito! Kung nasiyahan ka, maaari kang matuto nang higit pa tungkol sa kung paano lumikha ng isang WordPress website mula simula hanggang matapos sa aking WordPress para sa Mga Nagsisimula 2023: Walang-Code WordPress Masterclass sa Udemy.
