Securitatea site-urilor WordPress este un subiect de o importanță imensă pentru fiecare proprietar al unui astfel de site. Google listează aproximativ 20.000 de site-uri web în fiecare zi pentru malware și în jur de 50.000 în fiecare săptămână pentru phishing.
Dacă sunteți serioși cu privire la site-ul dvs. web, atunci trebuie să acordați atenție celor mai bune practici de securitate WordPress. În acest ghid, vom împărtăși cateva sfaturi legate de securitatea WordPress pentru a vă ajuta să vă protejați site-ul împotriva hackerilor și a malware.
În timp ce software-ul de bază al WordPress este foarte sigur și este auditat în mod regulat de sute de dezvoltatori, se pot face multe pentru a vă asigura securitatea site-ului.
Noi credem că securitatea nu se rezumă doar la eliminarea riscurilor. Este vorba și despre reducerea riscurilor. În calitate de proprietar al unui site web, puteți face multe pentru a vă îmbunătăți securitatea WordPress (chiar dacă nu sunteți priceput în tehnologie).
Avem o serie de pași pe care îi puteți parcurge pentru a vă proteja site-ul împotriva vulnerabilităților de securitate.
Bazele securității WordPress
De ce securitatea WordPress este importantă
Un site WordPress hacked poate provoca daune grave veniturilor și reputației afacerii tale. Hackerii pot fura informații despre utilizator, parole, pot instala software rău intenționat și chiar pot distribui malware către vizitatorii site-ului tau.
Cel mai rău este ca s-ar putea să trebuiască să plătești hackerilor doar pentru a recâștiga accesul la site-ul tău.
În martie 2016, Google a raportat că peste 50 de milioane de utilizatori au fost avertizați despre un site web pe care îl vizitează că poate conține malware sau să fure informații.
Mai mult, Google listează în jur de 20.000 de site-uri web pentru malware în fiecare zi și în jur de 50.000 pentru phishing în fiecare săptămână.
Dacă site-ul dvs. web este o afacere, atunci trebuie să acordați o atenție suplimentară securității WordPress.
Asa cum este responsabilitatea proprietarilor de afaceri să-și protejeze clădirea magazinului fizic, în calitate de proprietar de afacere online, este responsabilitatea dvs. de să vă protejati site-ul afacerii.
Mentinerea actualizata a platformei WordPress
WordPress este un software open source care este întreținut și actualizat în mod regulat. În mod implicit, WordPress instalează automat actualizări minore. Pentru versiuni majore, trebuie să inițiați manual actualizarea.
De asemenea, WordPress vine cu mii de plugin-uri și teme pe care le puteți instala pe site-ul dvs. web. Aceste pluginuri și teme sunt întreținute de dezvoltatorii terți care publică în mod regulat și actualizări.
Aceste actualizări WordPress sunt cruciale pentru securitatea și stabilitatea site-ului dvs. WordPress. Trebuie să vă asigurați că nucleul, pluginurile și tema dvs. WordPress sunt la zi.
Parole puternice și permisiuni de utilizator
Cele mai frecvente încercări de hacking WordPress folosesc parole furate. Puteți îngreuna asta folosind parole mai puternice, care sunt unice pentru site-ul dvs. web. Nu doar pentru zona de administrare WordPress, ci și pentru conturile FTP, baza de date, contul de găzduire WordPress și adresele dvs. de e-mail personalizate care folosesc numele de domeniu al site-ului dvs.
Multor începători nu le place să utilizeze parole puternice, deoarece sunt greu de reținut. Nu mai trebuie să vă amintiți parolele. Puteți utiliza un manager de parole precum: LastPass, 1Password sau Dashlane.
Un alt mod de a reduce riscul este să nu oferiți nimănui acces la contul dvs. de administrator WordPress decât dacă trebuie să o faceți absolut. Dacă aveți o echipă mare de administratori, autori sau utilizatori, asigurați-vă că înțelegeți rolurile și capacitățile utilizatorilor în WordPress înainte de a adăuga noi conturi de utilizator și autori pe site-ul dvs. WordPress.
Rolul găzduirii WordPress
Serviciul dvs. de găzduire WordPress joacă cel mai important rol în securitatea site-ului dvs. WordPress. Un bun furnizor de hosting, precum Bluehost sau Siteground, ia măsuri suplimentare pentru a-și proteja serverele împotriva amenințărilor comune.
Iată cum lucrează o companie bună de web hosting pentru a vă proteja site-urile și datele.
Își monitorizează continuu rețeaua pentru activități suspecte.
Toate companiile de găzduire au instrumente pentru a preveni atacurile DDOS pe scară largă.
Își țin la zi software-ul și hardware-ul serverului pentru a împiedica hackerii să exploateze o vulnerabilitate de securitate cunoscută într-o versiune veche.
Sunt gata să implementeze planuri de recuperare a datelor in cazul unor accidente catastrofale.
Pe un plan de găzduire partajat, partajați resursele serverului cu mulți alți clienți. Acest lucru creste riscul de contaminare între site-uri unde un hacker poate utiliza un site vecin pentru a-ți ataca site-ul.
Utilizarea unui serviciu de găzduire WordPress gestionat oferă o platformă mai sigură pentru site-ul dvs. web. Companiile de găzduire WordPress gestionate oferă copii de rezervă automate, actualizări automate de WordPress și configurații de securitate mai avansate pentru a vă proteja site-ul. Vă recomandăm WPEngine ca furnizor preferat de găzduire WordPress gestionat.
Securitatea WordPress în pași simpli
Instalați o soluție de backup WordPress
Backup-urile sunt prima ta apărare împotriva oricărui atac WordPress. Nu uitați, nimic nu este 100% sigur. Dacă site-urile guvernamentale pot fi atacate, atunci la fel pot fi ale tale. Copiile de rezervă vă permit să vă restaurați rapid site-ul dvs. WordPress în cazul în care ceva rău s-ar întâmpla.
Există multe plugin-uri gratuite care vă pot ajuta să faceti copii de rezervă WordPress pe care le puteți utiliza. Cel mai important lucru pe care trebuie să-l știți când vine vorba de copii de rezervă este că trebuie să le salvați în mod regulat într-o locație îndepărtată (nu în contul de găzduire). Vă recomandăm să stocati salvarile pe un serviciu cloud precum Amazon, Dropbox sau Stash. Frecventa salvarilor ar trebui sa fie condforma cu frecventa cu care actualizati informatiile din site-ul dvs. Acest lucru poate fi realizat cu ușurință folosind pluginuri precum VaultPress sau UpdraftPlus. Ambele pluginuri sunt fiabile și, cel mai important, ușor de utilizat.
Configurati un plugin de securitate WordPress
După copiile de rezervă, următorul lucru pe care trebuie să îl faceti este să configurați un sistem de audit și monitorizare care să țină evidența a tot ceea ce se întâmplă pe site-ul dvs. web. Aceasta include monitorizarea integrității fișierelor, încercări de autentificare eșuate, scanare malware etc. Din fericire, acest lucru poate fi facut de cel mai bun plugin gratuit de securitate WordPress, Sucuri Scanner. Ar fi bine să instalați și să activați pluginul gratuit Sucuri Security. După activare, trebuie să accesați meniul Sucuri din administratorul dvs. WordPress. Primul lucru care vi se va solicita este să generați o cheie API gratuită. Aceasta permite înregistrarea auditului, verificarea integrității, alertele prin e-mail și alte funcții importante.
Setările implicite ale pluginului sunt suficient de bune pentru majoritatea site-urilor web și nu au nevoie de modificări.
Singura functionalitate pe care trebuie sa o personalizati este „Alerta prin e-mail”. Setările implicite de alertă vă pot aglomera inbox-ul cu mesaje e-mail. Vă recomandăm să primiți alerte pentru acțiuni cheie, cum ar fi modificările pluginurilor, înregistrarea utilizatorilor noi, etc. Puteți configura alertele accesând Setări Sucuri »Alerte.
Acest plugin de securitate WordPress este foarte puternic, așa că parcurgeți toate filele și setările pentru a vedea tot ce face, cum ar fi scanarea programelor malware, jurnalele de audit, urmărirea încercării de autentificare eșuată etc.
Folositi un firewall pentru aplicatii web (WAF)
Cel mai simplu mod de a vă proteja site-ul și de a fi încrezător în ceea ce privește securitatea WordPress este folosind un firewall pentru aplicații web (WAF).
Un firewall de site web blochează tot traficul rău intenționat.
Firewall site DNS Level – Aceste firewall vă orientează traficul site-ului dvs. prin serverele lor proxy cloud. Aceasta tehnica de lucru le permite să trimită doar trafic autentic pe serverul dvs. web.
Firewall Level Level Aplicație – Aceste plugin-uri de firewall examinează traficul odată ce ajunge pe serverul dvs., dar înainte de a încărca majoritatea scripturilor WordPress. Această metodă nu este la fel de eficientă ca firewallul la nivel DNS în reducerea încărcării serverului.
Iata cateva dintre cele mai bune pluginuri pentru firewall WordPress: Sucuri, MaxCDN (StackPath), Cloudflare, Wordfence Security, Jetpack, BulletProof Security.
Mutați site-ul WordPress pe SSL / HTTPS
SSL (Secure Sockets Layer) este un protocol care criptează transferul de date între site-ul dvs. web și browserul vizitatorilor. Această criptare ingreuneaza mult activitatea celor care incearca să fure informații.
După ce activați SSL, site-ul dvs. web va utiliza HTTPS în loc de HTTP, veți vedea, de asemenea, un semn cu lacăt lângă adresa site-ului dvs. în browser.
Certificatele SSL au fost emise de obicei de autoritățile de certificare, iar prețurile lor încep de la 50 USD dar pot ajunhe la sute de dolari anual. Datorită costurilor adăugate, majoritatea proprietarilor de site-uri web au ales să continue utilizarea protocolului nesigur (HTTP). Pentru a remedia acest lucru, o organizație non-profit numită Let’s Encrypt a decis să ofere certificate SSL gratuite proprietarilor de site-uri web. Proiectul lor este susținut de Google Chrome, Facebook, Mozilla și multe alte companii.
Acum, este mai ușor ca niciodată să începi să folosești SSL pentru toate site-urile tale WordPress. Multe companii de găzduire oferă acum un certificat SSL gratuit pentru site-ul dvs. WordPress .
Securitate WordPress pentru utilizatorii avansati (necesita cunostinte IT)
Modificați numele de utilizator „admin” implicit
Pe vremuri, numele de utilizator WordPress cu permisii de administrator era implicit „admin”. Întrucât numele de utilizator alcătuiesc jumătate din datele de autentificare de autentificare, acest lucru a ușurat munca hackerilor pentru atacuri de forță brută. Din fericire, WordPress a schimbat de atunci și acum vă permite să alegeți un nume de administrator personalizat în momentul instalării WordPress.
Cu toate acestea, unele soft-uri care instaleaza WordPress cu un clic, setează în continuare numele implicit de administrator pentru „admin”. Dacă observați acest utilizator in modulul dvs de administrare WordPress, atunci este o idee bună să vă schimbați găzduirea web. Deoarece WordPress nu vă permite să schimbați numele de utilizator, există trei metode pe care le puteți utiliza pentru a face totusi aceasta schimbare:
- Creați un nou nume de administrator și ștergeți-l pe cel vechi.
- Utilizați pluginul Changer nume de utilizator
- Actualizați numele de utilizator direct prin phpMyAdmin
Notă: Vorbim despre numele de utilizator numit „admin”, NU despre rolul de administrator.
Dezactivați editarea fișierelor din wp-admin
WordPress vine cu un editor de cod încorporat care vă permite să editați fișiere din temă și pluginuri chiar din zona de administrator WordPress. Această caracteristică poate fi un risc pentru securitate, motiv pentru care dezactivarea ei.
Puteți face acest lucru ușor adăugând următorul cod în fișierul dvs. wp-config.php .
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
În mod alternativ, puteți face acest lucru cu un singur clic folosind o funcție din pluginul gratuit Sucuri menționat mai sus.
Dezactivați executarea fișierelor PHP în anumite directoare WordPress
Un alt mod de a-ți întări securitatea WordPress este dezactivând execuția fișierului PHP în directoarele în care nu este nevoie, cum ar fi / wp-content / uploads /.
Puteți face acest lucru prin deschiderea unui editor de text ca Notepad și inserați acest cod:
deny from all
În continuare, trebuie să salvați acest fișier sub forma .htaccess și să îl încărcați în / wp-content / upload / folderele de pe site-ul dvs. web folosind un client FTP.
În mod alternativ, puteți face acest lucru cu un singur clic folosind o funcție din pluginul gratuit Sucuri menționat mai sus.
Limitați încercările de conectare
În mod implicit, WordPress permite utilizatorilor să încerce să se autentifice de câte ori doresc. Acest lucru lasă site-ul dvs. WordPress vulnerabil la atacurile de forță brută. Hackerii vor folosi generatoare de parole încercând să se autentifice cu diferite combinații.
Acest lucru poate fi ușor remediat prin limitarea încercărilor de autentificare eșuate pe care le poate face un utilizator. Dacă utilizați firewall-ul pentru aplicații web menționat anterior, atunci problema este deja rezolvata.
Dacă nu aveți configurat firewall-ul, continuați pașii de mai jos.
În primul rând, trebuie să instalați și să activați plugin-ul Login LockDown.
După activare, accesați Setări » Pagina de conectare LockDown pentru a configura pluginul.
Adăugați autentificare în doi pași
Tehnica de autentificare cu doi factori cere utilizatorilor să se autentifice folosind o metodă de autentificare în doi pași. Primul este numele de utilizator și parola, iar al doilea pas vă solicită autentificarea folosind un dispozitiv sau o aplicație separată.
Majoritatea site-urilor online de top precum Google, Facebook, Twitter, folosesc aceasta metodă. Puteți adăuga aceeași funcționalitate site-ului dvs. WordPress.
În primul rând, trebuie să instalați și să activați pluginul « Two Factor Authentication ».
Schimbați prefixul bazei de date WordPress
În mod implicit, WordPress folosește wp_ ca prefix pentru toate tabelele din baza de date WordPress. Dacă site-ul dvs. WordPress folosește prefixul implicit al bazei de date, atunci este mai ușor pentru hackeri să ghicească care este numele tabelei dvs. Acesta este motivul pentru care vă recomandăm să îl schimbați.
Notă: Aceasta modificare poate distruge site-ul dvs. dacă nu este făcută corect! Continuați numai dacă aveti cunsotintele necesare.
Protejați cu parola pagina de administrare și autentificare WordPress
În mod normal, hackerii pot accesa folderul wp-admin și pagina de conectare fără nicio restricție. Acest lucru le permite să încerce trucurile lor de hacking sau să execute atacuri DDoS.
Puteți adăuga o protecție suplimentară pentru parolă la un nivel de server, care va bloca efectiv aceste solicitări.
Conectați-vă la cPanel. Derulați în jos până vedeți fila Securitate. Faceți clic pe pictograma „Password Protect Directories”. Când faceți clic pe acetasta pictograma, va apărea o fereastră care solicită locația directorului. Faceți clic pe rădăcina web. După ce sunteți acolo, navigați la folderul în care este găzduit WordPress. Apoi faceți clic pe folderul / wp-admin /. Pur și simplu bifați caseta pentru a proteja cu parola directorul. Apoi creați un utilizator pentru director. Acum, când încercați să accesați directorul wp-admin, ar trebui să vedeți o casetă necesară pentru autentificare.
Dezactivați indexarea și navigarea directoarelor
Navigarea pe directoare poate fi folosită de hackeri pentru a afla dacă aveți fișiere cu vulnerabilități cunoscute prin care să poată profita de aceste fișiere pentru a avea acces.
Navigarea directoarelor poate fi, de asemenea, utilizată de alte persoane pentru a analiza fișierele dvs., pentru a copia imagini, pentru a afla structura directoarelor și alte informații. Acesta este motivul pentru care este recomandat să opriți indexarea și navigarea directoarelor.
Pentru asta, trebuie să vă conectați la site-ul dvs. web utilizând FTP sau managerul de fișiere cPanel. Apoi, localizați fișierul .htaccess în directorul rădăcină al site-ului dvs.
După aceea, trebuie să adăugați următoarea linie la sfârșitul fișierului .htaccess:
Options -Indexes
Nu uitați să salvați fișierul .htaccess în forma modficata.
Dezactivați XML-RPC în WordPress
XML-RPC a fost activat în mod implicit în WordPress 3.5, deoarece ajută la conectarea site-ului dvs. WordPress cu aplicații web și mobile. Datorită naturii sale puternice, XML-RPC poate amplifica semnificativ atacurile de forță brută. De exemplu, în mod tradițional, dacă un hacker dorea să încerce 500 de parole diferite pe site-ul dvs. web, va trebui să facă 500 de încercări de conectare separate, care vor fi sesizate și blocate de pluginul de blocare a autentificării. Dar cu XML-RPC, un hacker poate utiliza funcția system.multicall pentru a încerca mii de parole cu 20 sau 50 de solicitări. Acesta este motivul pentru care dacă nu utilizați XML-RPC, atunci vă recomandăm să îl dezactivați.
Exista 3 metode prib care puteti dezactiva XML-RPC:
- inserați următorul cod înt fisierul functions.php din tema dvs.: add_filter(‘xmlrpc_enabled’, ‘__return_false’);
- instalați pluginul numit Disable XML-RPC . Tot ce trebuie să faceți este să îl activați. Face exact același lucru ca și codul de mai sus.
- inserați următorul cod în fișierul dvs. .htaccess:123456
# Block WordPress xmlrpc.php requests
<
Files
xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</
Files
>
Deconectați-vă automat utilizatorii Idle din WordPress
Utilizatorii ramasi conectați prezintă un risc de securitate. Cineva poate deturna sesiunea, poate schimba parolele sau poate face modificări în contul respectiv.
Acesta este motivul pentru care multe site-uri bancare și financiare deconectează automat un utilizator inactiv. Puteți implementa funcționalități similare și pe site-ul dvs. WordPress. Pentru asta va trebui să instalați și să activați pluginul « Inactive Logout ». După activare, vizitați Setări » Inactive Logout pentru a configura setările pluginului.
Pur și simplu setați durata de timp și adăugați un mesaj de deconectare. Nu uitați să faceți clic pe butonul Salvați modificările pentru a vă stoca setările.
Adăugați întrebări de securitate la ecranul de conectare WordPress
Adăugarea unei întrebări de securitate la ecranul de autentificare WordPress face și mai dificil pentru cineva să obțină acces neautorizat. Puteți adăuga întrebări de securitate instalând pluginul « WP Security Question ». La activare, trebuie să accesați pagina Setări » Întrebări de securitate pentru a configura setările pluginului.
Repararea unui site WordPress piratat
Mulți utilizatori WordPress nu își dau seama de importanța copiilor de siguranță și a securității site-ului web până când site-ul lor este hacked. Curățarea unui site WordPress poate fi foarte dificilă și consumă mult timp. Primul nostru sfat ar fi să lăsăm un profesionist să aibă grijă de el.
Hackerii instalează în spate pe site-urile afectate, iar dacă aceste zone din spate nu sunt rezolvate corect, atunci site-ul dvs. web va fi probabil piratat din nou.
Puteti comanda la noi serviciul « Devirusare si securizare site WordPress » in urma caruia puteti fi siguri că site-ul este sigur de utilizat din nou. Securizarea vă va proteja împotriva oricăror atacuri viitoare.
Sperăm că acest articol v-a ajutat să învățați cele mai bune practici de securitate WordPress, precum și să descoperiți cele mai bune pluginuri de securitate WordPress pentru site-ul dvs.