suport@creditpe.net

Securitatea WordPress în câțiva pași simpli

Dacă lucrați sau utilizați WordPress, atunci ar trebui să vă gândiți întotdeauna la securitatea site-ului dvs. WordPress nu este mai mult sau mai puțin sigur decât orice altă platformă, dar numărul de utilizatori, plugin-uri și programe de completare terță parte îl face o țintă obișnuită pentru atacatori. Nu vă faceți griji, totuși, există câțiva pași de bază pe care îi puteți face pentru a vă menține site-ul în siguranță (chiar dacă nu sunteți foarte pricepuți la tehnologie)!

1. Nu utilizați „admin” ca nume de utilizator

Cele mai multe „hacks” și atacuri WordPress nu fac nimic mai sofisticat decât să încerce să și pătrundă în zona de administrare ghicindu-vă parola. Acest lucru este mult mai ușor pentru ei dacă nu trebuie să ghicească și numele de utilizator al administratorului! Evitarea utilizării cuvintelor obișnuite (cum ar fi admin) pentru numele dvs. de utilizator poate face atacurile cu forță brută mult mai puțin eficiente.

Dacă lucrați cu un site mai vechi care are deja un utilizator „administrator”, ar putea fi timpul să ștergeți acel cont și să transferați orice conținut sau acces la un nume de utilizator mai sigur!

2. Folosiți o parolă complexă

A avea o parolă mai bună poate face mult mai greu de ghicit sau de a forța brută. Un sfat ușor de reținut este CLU : Complex. Lung. Unic.

Dar parole mai lungi și unice pot fi greu de reținut, nu? Aici intră în joc instrumente precum 1Password și LastPass , fiecare având generatoare de parole. Tastați lungimea necesară și vă generează o parolă. Salvați linkul, salvați parola și continuați cu ziua. În funcție de cât de sigur doriți să fie parola, este logic să setați o parolă lungă (20 de caractere este bună) și să decideți lucruri precum includerea unor caractere mai puțin obișnuite precum #sau *.

3. Adăugați autentificare cu doi factori

Chiar dacă nu utilizați „admin” și aveți o parolă puternică, generată aleatoriu, atacurile cu forță brută pot fi totuși o problemă. Nu vă faceți griji, însă, autentificarea în doi factori vă poate ajuta să vă protejați site-ul.

Principiul este că, mai degrabă decât să introduceți doar datele de conectare, trebuie să confirmați că sunteți dvs. introducând un cod unic de pe un alt dispozitiv pe care îl dețineți (de obicei printr-o aplicație de pe telefon). Este mult mai greu să falsifice atacatorii!

Două pluginuri populare pentru gestionarea autentificării în WordPress sunt Google Authenticator și Rublon Plugin (care adoptă o abordare ușor diferită). Doar asigurați-vă că nu vă pierdeți codurile de rezervă, altfel s-ar putea să vă aflați blocat.

4. Folosiți principii cel mai puțin privilegiate

Echipa WordPress.org a realizat un articol extraordinar în WordPress Codex privind rolurile și capacitățile . Vă încurajăm să-l citiți și să vă familiarizați cu el, deoarece se aplică la pasul următor.

Conceptul de cel mai puțin privilegiat este simplu. Acordați permisiuni numai pentru:

  • cei care au nevoie de ea,
  • când au nevoie de ea și
  • numai pentru timpul de care au nevoie.

Dacă cineva necesită acces temporar de administrator pentru o modificare a configurației, acordați-o, dar apoi eliminați-o la finalizarea sarcinii. Vestea bună este că nu trebuie să faceți prea multe aici, în afară de cele mai bune practici.

Contrar credinței populare, nu fiecare utilizator care vă accesează instanța WordPress trebuie să fie clasificat sub rolul de administrator . Alocați persoanelor rolurile corespunzătoare și vă veți reduce considerabil riscul de securitate.

5. Ascunde wp-config.phpși.htaccess

Fișierul wp-config.phpși .htaccessfișierul dvs. sunt esențiale pentru securitatea WordPress. Acestea conțin adesea acreditările dvs. de sistem și expun informații despre structura și configurația site-ului dvs. Este vital să ne asigurăm că atacatorii nu pot avea acces la ei.

Ascunderea acestor fișiere este relativ ușor de realizat, dar dacă o greșești, site-ul tău ar putea fi inaccesibil. Faceți o copie de rezervă și continuați cu prudență. Yoast SEO pentru WordPress face acest proces oarecum mai ușor pentru dvs. Accesați „Instrumente> Editor fișiere” pentru a edita fișierul.htaccess .

Pentru o mai bună securitate WordPress, va trebui să adăugați acest lucru la .htaccessfișierul dvs. pentru a proteja wp-config.php:

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

Acest lucru va împiedica accesarea fișierului. Cod similar poate fi utilizat pentru .htaccessfișierul dvs. însuși:

<Files .htaccess>
order allow,deny 
deny from all
</Files>

6. Folosiți cheile de securitate WordPress pentru autentificare

„Cheile de autentificare” și „sărurile” sunt practic un set de variabile aleatorii, unice site-ului dvs. web, care îmbunătățesc securitatea (criptarea) informațiilor din cookie-uri.

wp-config.phpFișierul dvs. are o zonă dedicată în care puteți furniza propriile variabile (pur și simplu obțineți un nou set de chei de aici și lipiți-le).

7. Dezactivați editarea fișierelor

Dacă un hacker intră, cel mai simplu mod de a-ți schimba fișierele ar fi să accesezi „Aspect> Editor” din WordPress. Pentru a vă îmbunătăți securitatea WordPress, ați putea dezactiva editarea acestor fișiere prin intermediul acelui editor. Din nou, puteți face acest lucru din wp-config.phpfișierul dvs. adăugând această linie de cod:

define('DISALLOW_FILE_EDIT', true);

Veți putea în continuare să vă editați șabloanele prin intermediul aplicației FTP (S) dvs. preferate. Pur și simplu nu veți putea face acest lucru prin WordPress în sine.

8. Ascundeți datele de conectare și limitați încercările de conectare

Atacurile cu forță brută vizează de obicei formularul dvs. de autentificare. Deci, schimbarea locului în care trăiește poate face ca atacatorii să intre mai greu. Pluginul All in One WP Security & Firewall are opțiunea de a schimba pur și simplu adresa URL implicită (de la /wp-admin/) la ceva mai sigur.

În plus, puteți limita și numărul de încercări de conectare de la o anumită adresă IP. Există mai multe pluginuri WordPress pentru a vă ajuta să vă protejați formularul de conectare de adresele IP care declanșează o mulțime de încercări de conectare.

9. Fii selectiv cu XML-RPC

XML-RPC este o interfață de program de aplicație (API) care există de ceva timp. Este folosit de mai multe pluginuri și teme, așa că îi avertizăm pe cei mai puțin tehnici să fie atenți la modul în care implementează acest sfat de întărire specific.

Deși funcțională, dezactivarea poate avea un cost. Acesta este motivul pentru care nu recomandăm dezactivarea pentru toate, dar să fim mai selectivi cu privire la modul și la ce permiteți accesul la acesta. În WordPress, dacă utilizați Jetpack, veți dori să fiți mai atent aici.

Există o serie de pluginuri care vă ajută să fiți foarte selectivi în modul în care implementați și dezactivați XML-RPC în mod implicit.

10. Găzduire și securitate WordPress

Chiar dacă sunteți meticulos când vine vorba de securitatea site-ului dvs. web, dacă este găzduit de o companie care nu este la fel de meticuloasă, este posibil să nu fi făcut deloc nimic.

Dacă un atacator poate avea acces la găzduirea site-ului dvs. web, acesta poate prelua controlul complet asupra tuturor. Asta înseamnă că este foarte important să alegeți (sau să vă mutați la) o gazdă care ia în serios gazduirea. Opțiunile de găzduire mai ieftine nu vin adesea cu o securitate bună sau cu copii de rezervă sau s-ar putea să nu ofere suport pentru a vă ajuta să curățați un site piratat.

Gazduirea partajată (care este obișnuită la pachetele ieftine) este adesea deosebit de riscantă, deoarece atacatorii ar putea avea acces la site-ul dvs. prin intermediul unui alt site compromis pe același sistem. De aceea, recomandăm întotdeauna utilizatorilor serioși să cheltuiască puțin mai mult pe găzduire și să folosească o companie cu o reputație excelentă pentru găzduirea specializată WordPress (de exemplu, GoDaddy sau WP Engine ).

11. Rămâi la curent

A fi la curent este o declarație ușor de făcut, dar ne dăm seama cât de greu poate fi acest lucru pentru proprietarii de site-uri de zi cu zi. Site-urile noastre web sunt ființe complexe. Au multe lucruri diferite care se întâmplă la un moment dat. Și uneori este dificil să aplici modificările rapid. De aceea nu este neobișnuit ca site-urile web să sfârșească prin a rula codul învechit. Atât în plugin-uri, cât și în software-ul de bază. Din păcate, acest lucru îi face deosebit de vulnerabili la exploatările cunoscute.

Este esențial ca actualizarea temelor, software-ului, pluginurilor și a altor componente să facă parte dintr-o rutină continuă. În caz contrar, lăsați ușa deschisă atacatorilor. Dacă sunteți utilizator al pluginului Yoast SEO, urmați acești pași simpli pentru a vă actualiza pluginul Yoast SEO .

12. Puneți mai multe straturi de securitate la locul lor

Cele mai bune soluții de securitate împiedică atacatorii să ajungă vreodată în apropierea site-ului dvs. web. De aceea, vă recomandăm ca majoritatea site-urilor să ruleze un fel de plugin de firewall WordPress . Aceste pluginuri caută atacatori cunoscuți și modele de atac obișnuite și le opresc înainte ca acestea să aibă șansa de a compromite site-ul dvs.

De asemenea, merită luat în considerare faptul că multe sisteme de livrare a conținutului includ acum funcționalitate firewall; combinând optimizarea performanței cu protecția. Cloudflare , în special, face o treabă excelentă de a bloca „traficul defectuos” și chiar are reguli și scanări dezvoltate special pentru a proteja site-urile WordPress.

13. Cele mai bune pluginuri și teme de securitate

Majoritatea utilizatorilor de WordPress tind să aplice teme și pluginuri pe site-urile lor după bunul plac. Vă recomandăm să aveți grijă să testați diferite teme sau pluginuri, mai ales dacă nu utilizați un server de testare. Majoritatea pluginurilor și o mulțime de teme sunt gratuite și, cu excepția cazului în care dezvoltatorul are un model de afaceri solid care să însoțească aceste cadouri gratuite, este posibil ca securitatea să nu fi fost cea mai mare prioritate în timpul dezvoltării. Cu alte cuvinte, dacă un dezvoltator menține un plugin doar pentru că este distractiv , este probabil ca acesta să nu-și fi luat timp să facă verificări de securitate adecvate.

Din acest motiv, ne-am asociat cu Sucuri în urmă cu ani pentru a ne asigura că fiecare dintre pluginurile noastre este verificat pentru securitate înainte de lansare. Și avem un acord cu ei și pentru verificările în curs. Dacă creați o temă sau un plugin gratuit, este posibil să nu aveți resursele pentru a adăuga verificări solide de genul acesta.

Cum să alegeți pluginul potrivit

Exemple de evaluări pe WordPress.org

Dacă doriți să fiți luat de mână în selectarea pluginului de securitate WordPress potrivit pentru site-ul dvs. web, vă rugăm să citiți acest articol detaliat pe care Tony Perez l-a făcut pe acest subiect: Înțelegerea ecosistemului pluginului de securitate WordPress .

Mai întâi, permiteți-mi să mă concentrez pe elementele de bază ale selectării pluginurilor aici. După cum sa explicat mai sus, pluginurile și temele gratuite ar putea fi o posibilă vulnerabilitate. Când adăugați un plugin (sau o temă de altfel), verificați întotdeauna evaluarea acelui plugin pe WordPress.org . Rețineți că o evaluare de 5 stele nu vă va spune nimic, așa că verificați întotdeauna numărul de evaluări. În funcție de nișă, un plugin ar trebui să poată primi recenzii multiple. Dacă mai mulți oameni consideră că un plugin este minunat și își iau timpul să îl evalueze, s-ar putea să vă simțiți mai sigur și în utilizarea acestuia.

Compatibilitatea pluginului

Exemplu compatibil cu WordPress 4.5.2

Mai este un alt lucru pe care doriți să îl verificați. Dacă un plugin nu a fost actualizat de doi ani, WordPress vă va spune asta. Acum, acest lucru nu înseamnă neapărat că este un plugin prost. Ar putea însemna, de asemenea, că nu a fost nevoie să îl actualizați, pur și simplu pentru că pluginul încă funcționează. Evaluările vă vor ajuta să decideți dacă acesta este cazul. Și aruncați o privire asupra compatibilității cu versiunea actuală WordPress, care este, de asemenea, afișată pe pagina de pluginuri la wordpress.org Acestea fiind spuse, Sucuri recomandă cu tărie să nu folosiți niciun plugin care nu a fost actualizat atât de mult. Ar trebui să le crezi cuvântul pentru asta.

Pe baza evaluărilor și a compatibilității, vă puteți alege pluginurile cu grijă și să fiți atenți la securitatea WordPress în același timp.

Yoast recomandă Sucuri

Sucuri.net

Am menționat deja prietenii noștri de la Sucuri . Proprietarii și managerii Daniel și Tony au făcut o treabă extraordinară la pluginurile noastre și au ajutat în trecut pe mai multe site-uri web piratate.

Sucuri este o companie de securitate a site-urilor web recunoscută la nivel mondial, cunoscută pentru capacitatea sa de a curăța și proteja site-urile web și de a oferi liniște sufletească proprietarilor de site-uri web, inclusiv noi aici la Yoast

Am făcut echipă cu Sucuri pentru că luăm securitatea foarte în serios. Nu este și niciodată nu ar trebui să fie un gând ulterior. Există o varietate de moduri de abordare a securității WordPress și am constatat că securitatea a fost abordată cel mai bine de la distanță la marginea dincolo de aplicație. Ceea ce au construit Daniel și Tony este un produs / serviciu care vă permite să reveniți la gestionarea afacerii dvs. Ei sunt echipa de securitate pe care ne sprijinim atunci când avem cel mai mare ajutor. Și te pot ajuta și pe tine. De exemplu, dacă utilizați WordPress, citiți cu siguranță ghidul lor WordPress despre cum să curățați un site WordPress piratat .

Webinar Sucuri: cum se piratează site-urile web?

Dacă vă întrebați de ce sunt piratate site-urile web și ce tip de atacuri există, urmăriți seminarul web al lui Sucuri pe acest subiect:

Eșecul luării măsurilor de precauție necesare pentru securitatea dvs. WordPress și folosirea experților pot duce la infecții malware, probleme de branding, liste negre Google și, eventual, pot avea un impact uriaș asupra SEO-ului dvs. (ceva drag inimilor noastre) . Din această cauză, apelăm la Sucuri pentru nevoile noastre, în timp ce aceștia apelează la noi pentru optimizarea site-ului web.

Mai mult, Sucuri a creat o infografică despre ce trebuie făcut atunci când site-ul dvs. este piratat:

cum să remediați un site piratat

Multe dintre sugestiile din acest articol pot fi tratate instalând și configurând pluginul gratuit Sucuri Scanner pentru WordPress sau angajând Sucuri pentru a se ocupa de securitatea site-ului dvs. web. La Yoast, nu credem că acesta este un „extra”, dar îl considerăm o necesitate absolută. Pentru noi, securitatea nu este un proiect DIY, motiv pentru care îl lăsăm pe seama profesioniștilor. Accesați site-ul lor la sucuri.net pentru mai multe informații sau verificați site-ul dvs. acum pentru a vă asigura că nu ați fost infectat cu malware sau că ați fost inclus pe lista neagră.

Dacă sunteți serios cu privire la site-ul dvs., sunteți serios cu privire la securitatea dvs. Obțineți pachetul complet de securitate al pachetului de securitate a site-ului aici:

Obțineți stiva de securitate a site-ului Sucuri ACUM

14. Nu uitați jurnalele și monitorizarea

Până acum, am văzut cum să securizăm un site WordPress. Cu toate acestea, deoarece securitatea WordPress nu este absolută (site-urile evoluează întotdeauna prin schimbarea funcționalității și a utilizatorilor), există un alt aspect al securității WordPress: înregistrarea și monitorizarea. Jurnalele de audit sau jurnalele de activitate sunt o înregistrare cronologică a evenimentelor și modificărilor care au avut loc pe site-ul dvs. web. În jurnalele de audit puteți găsi informații despre cine s-a conectat la site-ul dvs., a instalat sau actualizat un plugin, a modificat conținutul, a modificat setările site-ului și multe altele.

Identificați atacurile înainte de a se produce

Păstrând un jurnal de audit pe site-ul dvs. WordPress, asigurați răspunderea utilizatorului, ușurați depanarea problemelor tehnice și detectați atacurile înainte sau cum se întâmplă, permițându-vă să luați măsuri evazive pentru a le opri. Jurnalele de audit sunt folosite și pentru criminalistică, pentru a afla ce a mers prost în cazul nefericit al unui hack de succes. Pentru a păstra un jurnal de audit pe site-ul dvs. WordPress, trebuie să instalați un plugin cum ar fi Jurnalul de audit de securitate WP .

Există câteva alte lucruri pe care ar trebui să le urmăriți. De exemplu, dacă utilizați Sucuri, veți primi un raport săptămânal de trafic cu detalii despre ceea ce a fost blocat și permis. Puteți învăța multe din ea, precum și din analizele și tiparele de trafic ale site-ului dvs. web.

Gânduri de închidere cu privire la securitatea WordPress

Dacă ați ajuns până aici în acest articol, nu veți mai avea nicio scuză pentru a nu îmbunătăți securitatea WordPress pentru site-ul dvs. web. La fel ca adăugarea de postări și pagini, verificarea securității WordPress ar trebui să fie o rutină pentru fiecare proprietar de site WordPress.

Rețineți, de asemenea, că aceasta nu este lista completă a lucrurilor pe care le puteți face pentru a vă securiza site-ul. Sunt conștient că ar trebui, de exemplu, să creați copii de rezervă regulate pentru a vă menține site-ul în siguranță. Cu toate acestea, am încredere că acest articol despre securitatea WordPress vă oferă o listă practică a lucrurilor pe care le puteți și ar trebui să le faceți pentru a asigura cel puțin primul strat de apărare al site-ului dvs. web. Amintiți-vă, securitatea WordPress nu este absolută și depinde de noi să o facem mai dificilă pentru hackeri!

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *