19 moduri de a securiza un site web (7 sunt cheie!)

Publicat: 2022-08-20


Vă faceți griji pentru securitatea WordPress?

Ar trebui să fii! Dar nu vă faceți griji prea mult – dacă implementați unele dintre cele mai bune practici de securitate a site-ului WordPress pe site-ul dvs., vă puteți simți sigur că site-ul dvs. nu va avea probleme.

WordPress este sigur. Dar acțiunile pe care le întreprind utilizatorii (și pluginurile pe care utilizatorii le instalează) pot introduce tot felul de vulnerabilități WordPress.

Pentru a evita aceste greșeli, tot ce trebuie să faceți este să urmați sfaturile din această postare.

Pentru a face această postare cât mai eficientă posibil, vom împărți sfaturile noastre de securitate WordPress în două categorii:

Șapte cele mai bune practici de securitate WordPress TREBUIE SĂ URMA

Dacă nu luați nimic altceva din această postare, vă recomand să implementați cel puțin aceste șapte bune practici de securitate WordPress pe site-ul dvs.

Dacă nu faci aceste șapte lucruri, îți deschizi site-ul către vulnerabilități uriașe.

1. Aplicați actualizările de bază și de plugin-uri cât mai curând posibil

Unul dintre cele mai bune lucruri pe care le puteți face pentru a menține WordPress în siguranță este să aplicați întotdeauna cu promptitudine actualizările nucleului, pluginurilor și temelor WordPress.

Indiferent cât de grozavă este un program, este firesc să fie descoperite noi vulnerabilități. Cu toate acestea, cu o echipă de dezvoltare de calitate, aceste vulnerabilități vor fi remediate înainte de a putea fi exploatate de actori rău intenționați... atâta timp cât aplicați cu promptitudine actualizările!

Atât de multe dintre cele mai recente exploatări WordPress pe scară largă ar fi putut fi evitate dacă oamenii și-ar fi actualizat site-urile .

Pentru a fi alertat cu privire la noile actualizări, acordați atenție zonei Dashboard → Actualizări din administratorul WP.

Aplicarea actualizărilor WordPress este esențială pentru securitatea WordPress

Dacă sunteți îngrijorat de problemele de compatibilitate, puteți testa actualizările pe un site de staging înainte de a le aplica pe site-ul dvs. live. De asemenea, veți dori să faceți o copie de rezervă înainte de a aplica actualizări - mai multe despre asta mai târziu.

Notă – singura excepție de la această regulă o reprezintă actualizările majore, care se concentrează exclusiv pe adăugarea de noi funcții și nu includ nicio remediere de securitate. Puteți aștepta în siguranță câteva săptămâni pentru a aplica aceste actualizări majore.

  • Versiunea majoră (funcții) – 5.0, 5.1, 6.0 etc. – puteți aștepta să aplicați aceste actualizări.
  • Versiune minoră (securitate/remedieri de erori ) – 5.0.1, 5.1.2, 6.0.4 etc. – trebuie ÎNTOTDEAUNA să le aplicați CÂND CU POATE.

2. Folosiți numai pluginuri și teme de la dezvoltatori reputați (și fără pluginuri anulate)

În timp ce software-ul de bază WordPress este sigur, nu același lucru se poate spune despre fiecare plugin și temă de acolo ( mai ales pluginuri ).

Adăugând cod nou și modificând funcționalitatea site-ului dvs., pluginurile pot introduce tot felul de vulnerabilități.

În același timp, a nu folosi pluginuri nu este cu adevărat o opțiune, deoarece pluginurile sunt parte integrantă a fiecărui site WordPress.

În consecință, este important să vă concentrați doar pe utilizarea pluginurilor și temelor de la dezvoltatori de renume, cu un istoric de bună calitate a codului și întreținere promptă.

Adică, aveți grijă ce pluginuri instalați pe site-ul dvs.

Iată câteva sfaturi pentru a vă ajuta să utilizați numai pluginuri și teme de înaltă calitate:

  • Citiți recenziile . Recenziile slabe pot indica o calitate proastă a codului.
  • Verificați numărul de instalări active . Deși aceasta nu este o regulă grea, pluginurile populare sunt, în general, mai probabil să primească atenție.
  • Verificați actualizările recente . Este important să ai un dezvoltator activ pentru a corecta orice vulnerabilități nou descoperite.
  • Nu instalați pluginuri inutile . Deoarece fiecare plugin pe care îl instalați este un potențial vector de atac, ar trebui să instalați numai pluginuri care sunt importante pentru site-ul dvs.

Avem, de asemenea, un ghid complet despre alegerea pluginurilor WordPress.

În cele din urmă, veți dori, de asemenea, să evitați pluginurile anulate, deoarece nu știți ce cod a fost adăugat la plugin.

3. Utilizați Secure WordPress Hosting

Alegerea unui furnizor de găzduire WordPress de calitate poate contribui în mare măsură la asigurarea securității site-ului dvs.

În primul rând, un furnizor de găzduire WordPress de calitate se va asigura că mediul dumneavoastră este optimizat pentru securitatea WordPress, cum ar fi permisiunile corespunzătoare pentru fișiere și un fișier wp-config.php securizat.

Multe gazde WordPress vor construi, de asemenea, protecții mai proactive, cum ar fi firewall-uri încorporate sau scanare malware.

Unele gazde WordPress gestionate chiar vor curăța site-ul dvs. gratuit dacă i se întâmplă ceva.

Practic, cu o gazdă de calitate (în special o gazdă WordPress gestionată), ei se vor ocupa de multe dintre aceste bune practici, astfel încât să vă puteți concentra doar pe dezvoltarea site-ului dvs.

Pentru a găsi câteva opțiuni de calitate, consultați postările noastre cu cea mai bună găzduire WordPress gestionată și cea mai bună găzduire WordPress în general.

Dacă vă puteți permite, luați în considerare opțiuni precum Flywheel (ceea ce folosim pentru WPKube – recenzia noastră Flywheel) sau Kinsta (recenzia noastră Kinsta).

O gazdă de calitate poate implementa sfaturi despre securitatea site-ului WordPress

4. Blocați pagina de conectare și accesul la cont

Toate sfaturile de securitate WordPress din lume nu vă pot ajuta dacă un actor rău intenționat poate obține acces la unul dintre conturile dvs. legitime de utilizator WordPress ( în special un cont de administrator ).

Gândiți-vă la asta în lumea reală – ați putea avea cel mai bun sistem de securitate a locuinței din lume, dar nu va face nimic dacă un hoț are cheia casei și codul de securitate.

Aceasta înseamnă că este esențial să găsiți modalități de a vă proteja procesul de conectare și conturile de utilizator ale site-ului dvs. WordPress.

Pentru a începe, veți dori să utilizați acreditări puternice de cont:

  • Nume de utilizator – nu utilizați niciodată „admin” ca nume de utilizator. În schimb, alegeți un nume de utilizator unic pe care nu îl utilizați în altă parte.
  • Parolă – utilizați o parolă puternică, unică. Pentru cele mai bune rezultate, utilizați un manager de parole precum LastPass sau Bitwarden pentru a genera parole unice pentru fiecare site.

În plus, puteți folosi și tactici pentru a proteja pagina de autentificare WordPress:

  • Schimbați adresa URL de conectare - acest lucru reduce și mult traficul de bot. Cum? Utilizați pluginul gratuit WPS Hide Login.
  • Limitați încercările de autentificare – blocați temporar o adresă IP dacă face prea multe încercări de conectare incorecte (la fel cum fac băncile). Cum? Utilizați pluginul gratuit Limit Login Attempts Reloaded.
  • Solicitați autentificare în doi factori (2FA) – faceți-i pe oameni să introducă un cod dintr-o aplicație de autentificare, SMS sau e-mail în plus față de acreditările lor. Cum? Utilizați pluginuri gratuite precum WP 2FA sau Two-Factor.
Un exemplu de limitare a încercărilor de conectare pe WordPress

Toate site-urile ar trebui să schimbe adresa URL de conectare și să limiteze încercările de conectare, dar utilizarea autentificării cu doi factori WordPress este într-adevăr necesară doar pentru site-urile esențiale.

5. Instalați un certificat SSL și utilizați HTTPS

Un certificat SSL vă permite să utilizați HTTPS pe site-ul dvs. în loc de HTTP.

Cu HTTPS, toate datele care trec între browser și server sunt criptate. Dincolo de faptul că în general este bun pentru confidențialitate, acest lucru este esențial pentru protejarea datelor importante, cum ar fi numele de utilizator și parola.

Fără HTTPS, un actor rău intenționat din rețeaua dvs. de internet poate vedea toate datele care trec între browser și site. De exemplu, dacă vă conectați la site-ul dvs. la cafeneaua locală folosind HTTP, cineva din acea rețea ar putea să vă vadă numele de utilizator și parola în text simplu.

Când utilizați HTTPS, totuși, numele dvs. de utilizator și parola (împreună cu toate celelalte date) sunt criptate în siguranță, ceea ce înseamnă că actorii rău intenționați ar vedea doar o grămadă de caractere aleatorii.

Utilizarea HTTPS WordPress

În zilele noastre, majoritatea furnizorilor de găzduire WordPress de calitate oferă certificate SSL gratuite.

Odată ce instalați un certificat SSL prin intermediul tabloului de bord de găzduire, vă puteți configura site-ul să utilizeze HTTPS. Dacă aveți nevoie de ajutor pentru a vă muta site-ul la HTTPS, pluginul gratuit Really Simple SSL oferă o configurare cu un singur clic.

Urmați ghidul nostru WordPress HTTPS pentru mai multe detalii.

6. Utilizați versiuni PHP acceptate

WordPress este scris în limbajul de programare PHP. Cu toate acestea, există diferite versiuni PHP pe care le puteți folosi în contul dvs. de găzduire.

Versiunile mai vechi de PHP nu mai primesc întreținere, ceea ce înseamnă că pot avea probleme de securitate nepatchate.

Din 2022, cea mai veche versiune PHP care primește actualizări de securitate este PHP 7.4. Cu toate acestea, începând din 2023, veți dori să utilizați cel puțin PHP 8.0.

Puteți verifica compatibilitatea actuală a versiunii PHP pe această pagină.

Suport PHP pentru WordPress

Ca un bonus suplimentar, versiunile mai noi de PHP oferă, de asemenea, îmbunătățiri mari de performanță, ceea ce înseamnă că site-ul dvs. se va încărca mai repede, pe lângă faptul că va fi mai sigur.

Dacă nu ești sigur cum să actualizezi PHP, poți cere asistența gazdei. Avem, de asemenea, un ghid despre cum să actualizați PHP la gazde WordPress populare.

7. Faceți o copie de rezervă a site-ului dvs. în mod regulat

Copierea de rezervă a site-ului dvs. nu va împiedica apariția problemelor de securitate pe site-ul dvs. Cu toate acestea, va preveni transformarea problemelor de securitate în probleme mai mari.

Fără o copie de rezervă, orice incident de securitate pe site-ul dvs. poate fi absolut devastator. Este posibil să pierdeți date, să aveți o mulțime de timpi de nefuncționare și așa mai departe.

Cu o copie de rezervă recentă, totuși, cel mai rău caz de incident de securitate este, de obicei, că trebuie doar să restabiliți copia de rezervă curată a site-ului dvs. Încă enervant - dar mult mai puțin catastrofal.

Dacă gazda dvs. nu oferă deja backup-uri automate securizate, instrumente plătite precum Jetpack Backup sau BlogVault oferă cea mai simplă modalitate de a activa backup-uri securizate, în afara site-ului.

Dacă nu aveți bugetul necesar pentru a plăti un instrument, UpdraftPlus este, de asemenea, o opțiune gratuită grozavă - asigurați-vă că îl conectați la un furnizor de stocare extern, cum ar fi Google Drive sau Amazon S3.

Iată postarea noastră completă despre cele mai bune pluginuri de backup pentru WordPress.

Douăsprezece sfaturi suplimentare pentru consolidarea securității WordPress

Dacă implementați cu fidelitate cele mai bune practici de securitate a site-ului WordPress de mai sus, veți evita 99% dintre problemele de pe site-ul dvs.

Cu toate acestea, dacă doriți să îmbunătățiți și mai mult lucrurile, există câteva sfaturi suplimentare de întărire pe care le puteți implementa pentru a vă proteja și mai mult site-ul.

8. Configurați un firewall

Un firewall vă poate proteja în mod proactiv site-ul de amenințări prin blocarea traficului sau acțiunilor rău intenționate înainte ca acestea să vă afecteze site-ul sau serverul.

Multe gazde își implementează deja propriile firewall-uri, motiv pentru care acest lucru ar putea să nu fie un lucru obligatoriu pentru site-uri dacă utilizați găzduire WordPress de calitate ( vezi mai sus ).

Dacă gazda dvs. nu o face (sau dacă doriți mai multă protecție), puteți adăuga un firewall la nivel de aplicație cu un plugin precum Wordfence sau la nivel DNS cu un serviciu precum Cloudflare sau Sucuri.

9. Utilizați un plugin de securitate WordPress

Puteți crea site-uri WordPress securizate fără un plugin de securitate dedicat, așa că cu siguranță nu este necesar un plugin de securitate pentru a crea un site securizat.

Acestea fiind spuse, un plugin de securitate poate fi încă util din câteva motive:

  1. Pluginurile de securitate pot oferi firewall-uri în timp real pentru a proteja împotriva amenințărilor emergente.
  2. Un plugin de securitate de calitate va facilita implementarea multor alte sfaturi de întărire din această listă, ceea ce vă poate simplifica lucrurile și vă poate economisi timp.

Când aveți îndoieli, pluginul Wordfence este o opțiune excelentă pentru a începe. Puteți găsi mai multe opțiuni în colecția noastră completă de cele mai bune pluginuri de securitate WordPress.

10. Ascundeți versiunea WordPress

Ascunderea numărului versiunii WordPress adaugă o cantitate neglijabilă de „securitate prin obscuritate”, făcând puțin mai greu pentru actorii rău intenționați să detecteze numărul versiunii site-ului dvs.

Pentru a-l ascunde, puteți adăuga următorul cod în fișierul functions.php al temei copilului sau un plugin precum Code Snippets.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Dacă vrei să mergi mai departe, avem un ghid despre cum să ascunzi că site-ul tău folosește WordPress.

11. Verificați Permisiunile fișierelor

Dacă utilizați o gazdă de calitate, permisiunile pentru fișiere ale site-ului dvs. ar trebui să fie deja corecte. Cu toate acestea, ar putea merita să verificați de două ori, deoarece este important să aveți permisiunile corecte pentru fișiere.

Pentru a afla mai multe, consultați ghidul nostru complet pentru permisiunile fișierelor WordPress.

12. Utilizați numai conexiuni securizate pentru FTP

Ori de câte ori vă conectați la site-ul dvs. prin FTP sau alte tehnologii, asigurați-vă că utilizați protocoale securizate, cum ar fi SFTP.

Așa cum HTTPS protejează datele care se deplasează între browser și site-ul dvs. web, SFTP protejează conexiunea dintre clientul dvs. FTP și serverul dvs.

De asemenea, ar trebui să evitați stocarea parolelor dvs. FTP în clientul dvs. FTP, cu excepția cazului în care acele parole sunt criptate în siguranță.

13. Configurați înregistrarea activității

Înregistrarea activității vă permite să urmăriți ceea ce fac utilizatorii în tabloul de bord, ceea ce vă poate ajuta să detectați activități suspecte (mai ales dacă le oferiți altor utilizatori acces la tabloul de bord).

Înregistrarea activității WordPress pentru securitatea site-ului web

Pentru a configura acest lucru, puteți utiliza un plugin precum WP Activity Log. Avem un tutorial despre cum să configurați înregistrarea activităților, precum și un cupon exclusiv WP Activity Log pentru a vă economisi niște bani.

14. Executați scanări regulate de malware/securitate

Deși site-ul dvs. nu ar trebui să întâmpine probleme dacă ați implementat cele mai bune practici de mai sus, este totuși o practică bună să rulați periodic scanări de malware/securitate pe site-ul dvs.

Pentru a verifica eventualele probleme de pe front-end-ul site-ului dvs., puteți utiliza instrumentul gratuit Sucuri SiteCheck.

Pentru a rula o scanare completă a fișierelor serverului dvs., puteți lua în considerare instrumente precum MalCare sau Wordfence.

Gazda dvs. WordPress poate rula, de asemenea, propriile scanări zilnice de malware, ceea ce ar putea face aceste instrumente redundante.

15. Dezactivați XML-RPC

XML-RPC ajută instrumentele externe să se conecteze la site-ul dvs. WordPress, cum ar fi aplicația desktop WordPress.

Cu toate acestea, dacă nu utilizați aceste instrumente, doar adaugă un vector de atac inutil pe site-ul dvs. Pentru a-l dezactiva complet, puteți utiliza pluginul gratuit Disable XML-RPC.

16. Blocare Hotlinking

Hotlinking este atunci când cineva încorporează conținut de pe serverul tău pe site-ul său (de exemplu, o imagine). Poate afecta securitatea site-ului dvs. prin epuizarea resurselor serverului dvs. fără permisiunea dvs.

Pentru a bloca hotlinking-ul, puteți adăuga un cod în fișierul .htaccess al site-ului dvs.

Pentru a genera codul .htaccess necesar pentru a bloca hotlinkingul, puteți folosi acest instrument gratuit. Vă va permite să listați în siguranță anumiți furnizori de hotlinking (cum ar fi Google Image Search), în timp ce îi blocați pe alții.

17. Schimbați prefixul bazei de date WordPress

Schimbarea prefixului bazei de date WordPress adaugă o cantitate mică de „securitate prin obscuritate”, deși unii experți (inclusiv Wordfence) spun că beneficiile de securitate sunt destul de triviale.

Dacă aveți un site WordPress existent, nu vă recomand să faceți acest lucru, deoarece riscurile de a vă sparge site-ul depășesc orice potențiale beneficii de securitate.

Cu toate acestea, dacă configurați un nou site WordPress, ați putea la fel de bine să utilizați un prefix personalizat de bază de date, chiar dacă nu are un efect uriaș.

18. Dezactivați execuția fișierelor PHP în dosarul wp-content/uploads

Puteți bloca unele atacuri de tip limită prin dezactivarea execuției fișierelor PHP în folderul wp-content/uploads .

Iată cum:

  1. Utilizați Notepad pentru a crea un nou fișier .htaccess.
  2. Adăugați fragmentul de cod mai jos.
  3. Încărcați acel fișier în folderul wp-content/uploads .
 <Files *.php> deny from all </Files>

19. Dezactivați editarea codului în tabloul de bord

În mod implicit, WordPress vă permite să editați fișierele de teme și plugin din tabloul de bord WordPress, ceea ce ar permite atacatorului să adauge cod rău intenționat dacă ar avea vreodată acces la un cont de administrator.

Pentru a preveni acest lucru, puteți dezactiva editarea fișierelor adăugând acest fragment în fișierul wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Întrebări frecvente privind securitatea site-ului WordPress

Pentru a finaliza lucrurile, iată câteva întrebări frecvente despre securitatea WordPress.

WordPress are probleme de securitate?

WordPress în sine nu are probleme de securitate, dar instalarea de pluginuri pe site-ul tău poate introduce vulnerabilități de securitate, mai ales în cazul pluginurilor prost codificate și/sau întreținute.

WordPress este ușor de piratat?

Marea majoritate a site-urilor WordPress sunt sparte din cauza erorilor utilizatorului, nu din cauza software-ului în sine. Urmarea unor bune practici esențiale de securitate va face site-ul dvs. foarte dificil de piratat.

Puteți face WordPress securizat?

Da absolut. Atâta timp cât urmați cele mai bune practici, WordPress poate fi foarte sigur. Există un motiv pentru care atât de multe mărci importante au încredere în WordPress.

Ai nevoie de un plugin de securitate WordPress?

Puteți crea un site WordPress securizat fără un plugin de securitate complet. Cu toate acestea, aceste plugin-uri pot simplifica procesul de implementare a celor mai bune practici de întărire a securității și vă pot oferi acces la funcții utile, cum ar fi firewall-uri și scanare de securitate.

Implementați aceste bune practici de securitate WordPress astăzi

Dacă nu luați nimic altceva din această postare, sper să implementați cel puțin cele șapte sfaturi de securitate WordPress de mai sus.

Dacă faci doar acele șapte lucruri, poți fi sigur că vei evita 99,9% dintre problemele de securitate de pe site-ul tău.

Dacă doriți o protecție și mai bună, puteți continua și implementa toate cele 19 sfaturi din această listă.

Mai aveți întrebări despre securitatea WordPress? Spune-ne în comentarii!