I den första delen av denna serie gick vi igenom vad du ska göra när din webbplats blir hackad. I den här andra delen kommer vi att lära oss om att vara säker och kunna agera snabbt när en annan obehaglig händelse inträffar.
Tydligen blir den här frågan aldrig gammal, och människor närmar sig alltid WordPress med skepticism när det gäller säkerhet.
Wordpress är säker. Det finns tiotals, kanske hundratusentals utvecklare som bryr sig om WordPress välbefinnande, och de klarar kontinuerligt systemet för att hålla det säkert. För ännu säkrare webbplatser finns det gratis och kommersiella säkerhetspluggar som hanterar attacker som vanliga webbplatser inte alls behöver möta.
Men WordPress är inte 100% säker. Varför? Samma anledning att forskare sakta lyckas läsa och till och med skriver över dina tankar: Inget system i världen är 100% säker. Självklart kommer de onda hackarna att hitta ännu en säkerhetsfel i kärnan i WordPress, det är inget annat än naturligt. Det är där utvecklingssamhällets värde kommer ut, som jag sa tidigare. Men även ett samhälle som WordPress kan inte förhindra framtida sårbarheter.
Och även om de gör det, även om WordPress blir det första systemet som är 100% säkert, betyder det inte nödvändigtvis att din webbplats är säker heller. Din WordPress-version kan vara aktuell, men din webbleverantör kan glömma att uppdatera cPanel eller till och med PHP, eller en sårbarhet på noll dag kommer upp på MySQL eller din servers Linuxdistribution.
Eller, du vet vad, din egen dators operativsystem är inte heller 100% säker. (Ja, jag tittar på dig, Yosemite!) Din dator (eller telefon eller surfplatta) kan bli smittad av en trojan och ge dina lösenord till hackarna på en silverplatta. Du kan inte koppla bort din server eller din dator, och du kan inte lägga en tinfoilhatt över huvudet, så lita inte på hur säkert WordPress är.
Men WordPress är säker, och du borde inte oroa dig för det. Men du borde oroa dig för vad du ska göra om du litar på WordPress eller din värdleverantör eller din dator eller ens själv. De enda viktiga sakerna är att vidta försiktighetsåtgärder för att göra din webbplats säkrare och att kunna agera snabbt för att få din hemsida tillbaka på fötterna när din webbplats blir hackad.
Som jag sa kan inget system erbjuda 100% säkerhet, inklusive WordPress. Men det finns ingen anledning till att du inte borde stöta på 99% till 99,5%, eller hur? Dessutom kan bristen på sunt förnuft göra den procentuella branta droppe. Därför går vi igenom hur du ska vara säker när du använder WordPress.
"Seriöst?", Jag hör dig att säga. Ja, att hålla dig uppdaterad är förmodligen det mest uppenbara tipset om säkerhet, jag håller med om. Men det finns en anledning att varje säkerhetsrelaterad artikel om WordPress innehåller ett avsnitt om att hålla sig uppdaterad: Folk glömmer att uppdatera. Allvarligt.
Det finns ingen skam att glömma saker, men du borde veta det inte hålla sig uppdaterad har kostnaden för att vara en sittande anka mot hackare. När du glömmer att uppdatera WordPress eller dina teman och plugins, vägrar du i princip att patching av säkerhetsproblem och accepterar att vara ett volontärmål för nybörjare (n00b
) hackare.
WordPress introducerade automatiska uppdateringar för mindre versioner (som 4.0.1 till 4.0.2, inte 4,1 till 4,2), men det är inte alltid tillräckligt att patchera kärnan. Var noga med att uppdatera dina plugins och teman (och kärnan på stora uppdateringar) så snart de släppts.
Som jag sa i den tidigare delen av denna serie, hade ett säkerhetshål i en av de plugins jag använde låt en hacker köra ett skalskript på min server. Precis som i det här exemplet kan dåligt kodade plugins eller till och med teman skapa säkerhetshål på din webbplats.
Så, hur väljer du "säkra" plugins och teman? Tja, tänk på det här: Ju mer en mjukvara blir populär, desto mer är dess utvecklare motiverade att förbättra den. Så, att välja populära WordPress-plugins och teman kan vara logiskt. Det finns naturligtvis möjligheten att ett populärt plugin har ett stort säkerhetsproblem, men dess utvecklare kommer att reagera mer på att klistra in det i motsats till mindre populära plugins.
Om du hittar ett plugin eller tema som inte är så populärt och du måste använd det, då bör du åtminstone kontrollera bakgrunden av dess utvecklare (er). Om de verkar vara professionella för dig, är det också mer logiskt att lita på dem jämfört med att du blint installerade ett plugin du ser.
Och om du vet hur man läser kod är det alltid det bästa alternativet att gå igenom koden själv.
Det finns inte mycket att säga om den här, verkligen: Sedan några plugin eller tema har en chans att ha en säkerhetsproblem (det spelar ingen roll om det är aktuellt eller inte), det är ännu ett logiskt alternativ att ta bort oanvända eller onödiga plugins och teman för att sänka riskerna.
Kolla din plugins lista och se vilka som är absolut nödvändiga och vilka du kan leva utan; Ta bort dem alla, inklusive de som är inaktiverade men du Maj använd en dag. På samma sätt ta bort teman och barnteman som inte används.
För att maximera serverkompatibiliteten avstår WordPress ibland från att lägga till vissa funktioner, och de funktionerna inkluderar säkerhetsoptimeringar för vissa servertyper. Det är här säkerhetspluggarna är till hands: De låter dig maximera din webbplatss säkerhet genom sina många, många alternativ.
Det finns fyra "stora" spelare i WordPress-plugins-ekosystemet: Wordfence, Bulletproof Security, iThemes Security (tidigare känd som Bättre WP Security) och Sucuri Security. Alla är verkligen avancerade produkter, och de har så många alternativ som att granska och jämföra dessa plugins till varandra skulle få oss att flyta bort från "stay safe in WordPress". Mitt råd är att läsa alla beskrivningar noggrant, jämföra dem med varandra (de har alla premiumversioner, så jämföra dem också om du vill köpa en) och bestämma om en (eller kanske två) av dem.
Och kom ihåg: Dessa plugins är mestadels för erfarna användare som vet hur servrar fungerar och vet i princip vad plugins alternativ verkligen gör. (Det är en annan säkerhetsåtgärd: Spela inte med saker du inte förstår helt.) Om du vet vad du ska göra med dessa plugins, tveka inte att åtminstone prova en eller två av dem.
Notera: Sucuri har ett bra inlägg på WordPress-säkerhets plugin-ekosystemet, så se till att kolla in det.
Det finns inte mycket att säga om detta heller: En säker värd är lika viktig som en säker WordPress-installation. Var noga med att undersöka bra webbhotell som uppdaterar sina system regelbundet, erbjuda ytterligare skyddsåtgärder och ha anständiga tekniska supportteam.
Säkerheten är en dödligt fråga om allt (inklusive ditt hus, din smartphone, ditt land och WordPress) och du kan inte argumentera emot det. Därför måste du hålla det ordentligt så att din WordPress-webbplats blir säker. I denna serie delade jag två saker med dig: en plan för att hantera en hackad webbplats och de försiktighetsåtgärder som ska vidtas efter (och tidigare) din webbplats blir hackad. Jag hoppas att du njöt av att läsa den så mycket som jag tyckte om att skriva den.
Vad tar du på det här ämnet? Berätta vad du tycker genom att kommentera nedan. Och om du gillade den här serien, glöm inte att dela med dig av dina artiklar!