Un ghid cuprinzător despre cum să vă securizați site-ul WordPress.

Publicat: 2018-10-16
Cei mai mulți oameni, când încep pentru prima dată să-și proiecteze și să dezvolte site-ul web, sunt preocupați în primul rând să facă lucrurile să funcționeze așa cum își doresc și ca site-ul să arate grozav. Securitatea WordPress nu este una dintre preocupările lor principale.

Acest lucru este amuzant, deoarece aproape toată lumea a auzit sau a citit despre hacking, dar când vine vorba de site-urile noastre, ne așteptăm cumva să nu ni se întâmple. Pentru că de ce ar fi un hacker interesat de o mică secțiune a afacerii noastre locale, nu? Gresit. Securitatea WordPress este foarte semnificativă și, prin urmare, site-ul dvs. WordPress trebuie să fie securizat și fixat în mod adecvat. Să ne uităm la motivele pentru care!

De ce și cum îți pirata un hacker site-ul?

Este important să înțelegem raționamentul din spatele unui hack de site-uri web înainte de a discuta modalități de a preveni acest lucru. Pot exista mai multe motive pentru care un hacker ar fi interesat de site-ul dvs., chiar dacă este un site de afaceri mici sau chiar un blog personal.

Principalele două motive pentru care un site este piratat sunt: ​​unul, din motive politice, cum ar fi desfigurarea site-urilor web pentru a prezenta și a distribui conținut care susține o anumită ideologie sau grup.

Celălalt are ca scop câștigarea de bani prin mijloace frauduloase. Cum funcționează, site-ul piratat este folosit ca intermediar pentru a distribui software rău intenționat și, în cele mai multe cazuri, proprietarul site-ului nici măcar nu știe acest lucru.

Aceasta este piața neagră online care operează prin site-uri piratate. Site-ul dvs. web are potențialul de a deveni parte implicată în activități criminale!

Celelalte repercusiuni negative în afară de acestea sunt:

  • Un site web piratat și deteriorat va duce la deteriorarea reputației mărcii dvs. și, de asemenea, va provoca o jenă gravă.
  • Site-urile piratate sunt de obicei blocate de serverul de găzduire, ceea ce duce la pierderea afacerii.
  • Site-ul dvs., dacă este tăiat, poate fi folosit ca proxy de spam.
  • Costul de recuperare poate fi foarte mare dacă site-ul dvs. nu are copii de rezervă.

Acum că am stabilit pe scurt de ce site-ul dvs. poate fi piratat, să ne uităm la modul în care un hacker ar găsi și v-ar viza site-ul dvs. din milioanele disponibile online.

Trebuie să fie foarte improbabil ca un hacker să țintească site-ul tău, nu? La urma urmei, este doar o picătură în oceanul de site-uri web. Ei bine, îmi pare rău că ți-am spart balonul, dar este greșit!

Hackingul nu se face manual. Hackerii folosesc roboți/programe a căror singură funcție este să vâneze site-uri web vulnerabile. Aceste programe rulează de obicei pe servere cloud, unde sunt configurate și distruse conform nevoilor, lăsând puțin sau deloc urme în urmă. Sunt construite pentru a descoperi mii de site-uri web în fiecare oră. La găsirea unui site, acesta este căutat pentru vulnerabilități, care se găsesc continuu în WordPress și în pluginurile sale. Ele pot fi, de asemenea, cauzate de erori umane, cum ar fi utilizarea parolelor ușor de ghicit sau a unei găzduiri nesigure sau nesigure.

Securizarea site-ului dvs. WordPress, prin urmare, nu este o opțiune, ci o necesitate și suntem aici pentru a vă ajuta prin acest proces!

Ghidul tău pentru securizarea WordPress

Până la sfârșitul listei lungi de măsuri de securitate care urmează, veți fi echipat pentru a obține site-ul dvs. WordPress pe deplin garantat. Când vine vorba de securizarea site-urilor web, trebuie luate măsuri primare specifice de către toată lumea.

Acestea sunt lucruri care nu sunt neglijabile și, în mare parte, simple, care vor merge mult și vă vor menține WordPress în mod rezonabil în siguranță. Apoi, există un alt set de măsuri pentru cei dintre voi care sunt foarte paranoici în ceea ce privește siguranța site-ului dvs. și nu vă deranjează să faceți un milă în plus pentru a-l menține extrem de sigur.

Să discutăm mai întâi despre fostul set de măsuri, adică sarcinile de securitate necesare pe care ar trebui să le îndeplinească toți proprietarii de site-uri web:

Schimbați numele de utilizator implicit

Una dintre cele mai simple și rapide moduri de a vă securiza WordPress este să schimbați numele de utilizator implicit „Admin” cu ceva ce nu este ușor de ghicit. În mod ideal, ar trebui să vă schimbați numele de utilizator de administrator în timpul instalării WordPress în sine, dar dacă nu ați făcut asta, îl puteți fie redenumi folosind phpMyAdmin, fie rulând un script Standardized Query Language în baza de date.

Oricum, acest simplu hack de securitate WordPress va ajuta site-ul dvs. să evite o mulțime de încercări aleatorii de hacking.

Utilizați o parolă puternică și nu o reutilizați pe diferite platforme

Hackerii știu că noi, ca oameni, încercăm să păstrăm parolele securizate și identice, deoarece avem tendința de a le uita. Pirații știu să profite de acest lucru și, de obicei, au o listă cu cele mai frecvent utilizate parole pe care le vor încerca din nou și din nou până când o vor găsi pe cea. Această tehnică se numește forțarea brută a unei parole. Prin urmare, păstrarea unei parole sigure și complexe este un pas simplu către securizarea WordPress.

Un alt lucru de reținut este să nu reutilizați niciodată parolele. Ceea ce face reutilizarea parolelor este că le oferă hackerilor acces la toate celelalte conturi dacă chiar și unul dintre ele este compromis. Da, poate fi incomod și supărător pentru dvs. să vă amintiți atât de multe parole diferite și complexe, dar pentru a vă ajuta cu ele, mulți manageri de parole de pe piață vă ajută să păstrați și să vă păstrați parolele în siguranță. Vă sugerăm să folosiți acestea.

Rulați întotdeauna cea mai recentă versiune de WordPress

Este esențial să vă mențineți WordPress actualizat deoarece, cu fiecare actualizare de bază, WordPress remediază problemele de securitate descoperite recent. De multe ori, oamenii dezactivează actualizările de bază ale WordPress, deoarece cea mai recentă versiune poate să nu fie compatibilă cu unele plugin-uri. Lucrul esențial de reținut este însă că un site web piratat este mult mai problematic decât un plugin rupt temporar.

Nu schimbați nucleul WordPress

Editarea fișierelor sursă de bază WordPress este o idee groaznică, deoarece elimină ușurința actualizării automate a WordPress la cea mai recentă versiune, a cărei importanță am discutat în punctul anterior. Dacă ați schimbat nucleul WordPress, o actualizare la cea mai nouă versiune vă va face să pierdeți aceste modificări.

Deci, ce ar trebui să faceți dacă doriți să schimbați funcționalitatea WordPress?

Scrierea unui plugin este răspunsul. Vă oferă libertatea de a face tot ce doriți, fără a fi nevoie să faceți compromisuri asupra nucleului WordPress.

Același lucru este valabil și pentru teme și pluginuri. Orice încercare de modificare a nucleului va duce la pierderea capacității de actualizare la cea mai recentă versiune. În total, există întotdeauna alte modalități de a obține funcționalitatea pe care o dorești și schimbarea nucleului nu este calea de urmat.

Asigurați-vă că toate pluginurile și temele sunt actualizate

Motivul din spatele necesității de a vă actualiza pluginurile și ideile este același cu cel din spatele menținerii WordPress actualizat. Este responsabilitatea dvs. să le mențineți actualizate la cea mai recentă versiune, indiferent dacă o faceți manual sau automat, pentru a vă proteja site-ul de atacuri de tip hack.

Dacă utilizați pluginuri descărcate de pe WordPress.org, puteți activa actualizările automate în fundal, iar pentru orice alte actualizări comerciale de plugin, va trebui să le gestionați prin mecanismul lor de plugin. De asemenea, asigurați-vă că vă păstrați abonamentele la plugin mereu active pentru a obține cele mai recente actualizări.

Acum, când vine vorba de actualizarea temelor , s-ar putea să vă faceți griji cu privire la ce se va întâmpla cu toate modificările pe care le-ați făcut temei când efectuați o actualizare. Ceea ce ar trebui să faceți în timp ce modificați teme este să faceți acest lucru prin „teme copil”, mai degrabă decât să faceți modificări direct la tema reală.

Când faceți acest lucru, vă puteți actualiza cu ușurință temele la cea mai recentă versiune, fără a pierde modificările pe care le-ați făcut până acum. Pentru a verifica ce teme necesită actualizări, accesați „Aspect” și apoi „Teme” în WordPress. De asemenea, puteți activa actualizările automate de fundal în același mod în care se face cu pluginuri.

Descărcați întotdeauna pluginuri, teme și scripturi numai din sursa lor oficială

Poate fi tentant să achiziționați teme și pluginuri din surse neoficiale pentru un preț mai bun sau gratuit, dar nu este o idee inteligentă să faceți acest lucru. Acest lucru se datorează faptului că multe dintre aceste teme și plugin-uri piratate sunt modificate în mod greșit de hackeri pentru a fi servite drept ușă în spate pentru ca aceștia să își îndeplinească schemele rele.

Ar trebui să vă bazați întotdeauna pe site-uri sigure pentru a găsi pluginuri și teme de calitate pentru a vă asigura că WordPress este sigur. Cel mai comun dintre acestea este WordPress.org. Alte site-uri de încredere sunt WordPress.com, ThemeForest.net, CodeCanyon.net etc.

Site-ul dvs. ar trebui să ruleze întotdeauna cea mai recentă versiune de PHP

PHP este motorul de bază al WordPress și vine cu destul de multe actualizări de versiune.

Dar, conform paginii Global WordPress Statistics, aproape 80% din instalările WordPress rulează pe versiuni de PHP care nu mai sunt acceptate! Acesta este un motiv de îngrijorare, deoarece, în primul rând, site-ul dvs. nu beneficiază de funcții de performanță care apar cu cele mai recente versiuni și acest lucru duce, de asemenea, la nu remediați erorile de securitate care au fost găsite în versiunea anterioară.

De aceea, este esențial să vă asigurați că site-ul dvs. rulează cea mai recentă versiune de PHP.

În timp ce actualizați nucleul WordPress, pluginurile și temele sunt o sarcină destul de clară. Actualizările versiunii PHP depind în principal de serverul dvs. de găzduire. Acesta este unul dintre motivele pentru care este esențial să alegeți un server de găzduire securizat . Vă va pune la dispoziție cele mai recente versiuni de PHP odată cu instalarea WordPress. Un serviciu de găzduire WordPress securizat va avea, de asemenea, o echipă proactivă a cărei sarcină este să verifice cele mai recente vulnerabilități la care este expus site-ul tău și să ia măsuri pentru a le atenua.

Actualizați-vă site-ul numai prin rețele de încredere

Cui nu-i place să folosească internet Wi-Fi gratuit în locuri precum aeroport sau chiar o cafenea locală, nu? Dar rețineți că aceste conexiuni Wifi deschise sunt ușor de spionat. Ar trebui să evitați accesarea site-ului dvs. de administrare WordPress printr-o astfel de rețea. Și mai ales când vine vorba de actualizarea site-ului dvs. web, utilizați întotdeauna sisteme de încredere, cum ar fi cel de acasă sau de la birou.

Utilizați un antivirus

Dacă se întâmplă să existe un virus pe desktop, acesta se poate răspândi rapid prin replicarea pe site-ul dvs. web. Aceasta este o schemă folosită de obicei de viruși pentru a vă infecta site-ul. Apoi poate spiona și obține acces la parolele tale sau chiar la detaliile tale bancare și personale. Acesta este motivul pentru care ar trebui să vă asigurați că stația dvs. de lucru utilizează un antivirus de încredere și actualizat.

Securizează-ți site-ul folosind pluginuri de securitate WordPress

Un plugin de securitate vă permite să știți la ce vulnerabilități este expus site-ul dvs. și vă oferă îndrumări despre cum să le remediați. Utilizarea unui plugin este o modalitate simplă, dar sigură de a vă securiza site-ul WordPress și necesită foarte puțin sau deloc efort din partea dvs. Ei execută scanări și vă oferă o revizuire detaliată a oricăror probleme urmărite pe site-ul dvs. web.

Unele pluginuri de securitate de încredere sunt Total Security, Vulnerable Plugin Checker, iThemes Security Pro și Plugin Inspector.

Păstrați backupul site-ului dvs

Dacă toate măsurile de mai sus eșuează și securitatea site-ului tău este încă compromisă, atunci acest pas te va salva.

Este esențial să creați și să programați copii de rezervă pentru site-ul dvs. Aceste copii de siguranță planificate sunt o parte indispensabilă a politicii de securitate a unui site, deoarece se asigură că, dacă site-ul dvs. este compromis, acesta va fi restaurat cu ușurință la o versiune înainte de deteriorare.

Nu doar în cazul unui hack, ci și în cazul unei accidentări sau erori tehnice, a avea copii de siguranță vă asigură că vă puteți recupera site-ul și rulează din nou în cel mai scurt timp.

Lista măsurilor noastre de securitate principale și esențiale se termină aici!

Am ajuns la a doua parte în care vom discuta sfaturi de securitate WordPress pentru fanaticii noștri de securitate. Acest lucru este pentru acei administratori care doresc diferite straturi de protecție pentru site-ul lor.  

Asigurați-vă că ați setat cheile secrete de autentificare WordPress

Veți găsi 8 chei de securitate și autentificare WordPress în wp-config.php. Acestea nu sunt altceva decât variabile arbitrare care fac mai dificilă deducerea parolelor WordPress adăugând un element de aleatorie modului în care sunt stocate în baza de date.

Să vedem cum îl poți folosi.

  • Mai întâi, utilizați Generatorul aleatoriu WordPress pentru a genera un set de chei.
  • Apoi, editați fișierul wp.config. Veți găsi un loc pentru a adăuga cheile unice generate la pasul anterior în secțiunea „Chei unice de autentificare”.

Nu trebuie să partajați sau să faceți publice aceste chei.

Limitați încercările de conectare

Am vorbit deja despre forțarea brută și despre cum o folosesc hackerii pentru a-ți afla parola. Punerea în aplicare a unui mecanism de limitare a încercărilor de conectare este esențială tocmai din acest motiv.

Din fericire, există un plugin care face acest lucru pentru tine. Pluginul „Limit Login WordPress” detectează multe încercări de parole greșite și dezactivează încercările ulterioare pentru o anumită perioadă de timp, ceea ce are ca rezultat eforturi nereușite de forțare brută, iar transformările îmbunătățesc securitatea site-ului dvs.

Activați autentificarea cu doi factori

Autentificarea cu doi factori sau 2FA este o modalitate extrem de eficientă de a vă asigura autentificarea WordPress. La activarea 2FA, de fiecare dată când vă conectați la administratorul WordPress, veți avea nevoie de un token de securitate bazat pe timp (unic pentru fiecare utilizator) în plus față de parola obișnuită. Acest token de securitate expiră într-o perioadă scurtă, care este în general de 60 de secunde.

Acest lucru face extrem de dificil pentru oricine să obțină acces la datele dvs. de conectare, chiar dacă au acreditările dvs. de conectare (pentru că nu vor avea tokenul de securitate actual).

Activarea 2FA este astfel o modalitate completă de a vă consolida autentificarea și de a scăpa de atacurile de forță brută asupra detaliilor dvs. de conectare.

Dezactivați execuția PHP

Când hackerii au acces la site-ul tău, unul dintre primele lucruri pe care le fac este să execute PHP dintr-un director. Un lucru inteligent de făcut este să dezactivați acest lucru cu totul. Apoi, chiar dacă pe site-ul dvs. WordPress ar fi prezentă o anumită vulnerabilitate, această protecție ar distruge în mod proactiv restul eforturilor unui hacker de a vă împiedica site-ul.

Acesta este un pas puternic către securitatea WordPress și poate duce la distrugerea anumitor teme și pluginuri care ar putea necesita acest lucru, dar este totuși recomandabil să îl implementați în cele mai riscante directoare wp-includes și uploads.

Puteți implementa această protecție prin fișierul dvs. .htaccess adăugând următorul cod la acesta:

  • <Fișiere *.php>
  • Comanda Permite, Respinge
  • Negați de la toți
  • </Fișiere>

Dezactivați editarea fișierelor

În general, ne luptăm cu pluginuri și fișiere cu teme în timp ce suntem încă la etapele inițiale ale creării unui site web, deoarece în mod implicit, administratorii WordPress au voie să editeze fișiere PHP. Cu toate acestea, odată ce site-ul nostru web este dezvoltat, vom folosi foarte puțin această opțiune de editare.

Prin urmare, este recomandabil să dezactivați editarea fișierelor pentru administratorii WordPress odată ce site-ul este deschis și activ. Acest lucru se datorează faptului că, chiar dacă un hacker reușește să se conecteze la site-ul dvs., acesta va fi lipsit de privilegii de editare și nu va putea modifica fișierele pentru a-și executa schemele rele. Pentru a dezactiva editarea fișierului, introduceți următoarea comandă în fișierul wp-config.php: define('DISALLOW_FILE_EDIT', true);

Segregați-vă bazele de date WordPress

Dacă vă creați toate site-urile în aceeași bază de date și chiar și unul dintre ele este compromis, atunci toate celelalte site-uri WordPress găzduite în aceeași bază de date sunt, de asemenea, expuse unei mari amenințări de a fi piratate. În timpul instalării WordPress, ar trebui să creați întotdeauna o nouă bază de date și să îi oferiți un nume, o bază de date și o parolă separate. Asigurați-vă că acestea sunt diferite de orice alte site-uri sau date de conectare pe care le utilizați.

Ceea ce face acest lucru este că, dacă unul dintre site-urile dvs. este spart, infecția va înceta să se răspândească în alte locuri, chiar și pe același cont de găzduire partajată.

Dacă nu este utilizat, dezactivați XML-RPC

O aplicație vă poate accesa WordPress prin ceva cunoscut sub numele de API (Application Programming Interface). Pentru a vă explica în termeni simpli, un exemplu de XML-RPC este utilizarea aplicației pentru telefon pentru a vă actualiza site-ul. Există, de asemenea, pluginuri specifice care folosesc funcționalitatea XML-RPC.

Cu toate acestea, dacă nu utilizați nicio aplicație terță parte și sunteți sigur că niciunul dintre pluginurile dvs. WordPress nu vă folosește site-ul web prin XML-RPC, este înțelept să o dezactivați, deoarece XML-RPC poate fi folosit ca instrument pentru a vă pirata site-ul.

Asigurați-vă fișierul wp-config.php

Fișierul wp-config.php este una dintre cele mai critice date care stochează o mulțime de setări de configurare necesare, cum ar fi detaliile de conectare la baza de date, sărurile de parole de hashing etc. Nu ați dori ca nimeni să intre aici și, prin urmare, măsuri de securitate pentru a proteja acest fișier critic de configurare WordPress trebuie luat.

Dacă nu ați dezactivat execuția PHP (discutat la punctul 15), adăugați această comandă în fișierele dvs. .htaccess:

  • <fișiere wp-config.php>
  • ordona permite, refuza
  • nega de la toti
  • </fișiere>

Instalați firewall

Pentru a rămâne foarte simplu, Software Fireballs împiedică lucrurile să intre sau le împiedică să iasă. În acest caz, ele ajută la prevenirea hackerilor să se apropie de site-ul dvs. web (sau de petrecerea site-ului dvs.). Trebuie să utilizați un paravan de protecție pentru aplicații web (WAF), iar unul dintre paravanele de protecție cele mai de încredere și cu sursă deschisă disponibile în general cu serviciile de găzduire WordPress gratuit este paravanul de protecție „ModSecurity”.
Puteți afla dacă serviciul dvs. de găzduire oferă acest lucru și, dacă este, îl puteți folosi și activa.

În mod ideal, ar trebui să utilizați și un Firewall de rețea de livrare de conținut (CDN) pentru a îmbunătăți performanța site-ului dvs. prin furnizarea rapidă a resurselor abundente. CDN-urile vă protejează, de asemenea, site-ul web împotriva numeroaselor probleme de securitate WordPress.

Opriți raportarea erorilor PHP

Raportarea erorilor este benefică în momentul dezvoltării unui site web, deoarece vă face conștient de erori și le puteți remedia prompt. Dar atunci când raportarea erorilor este activată pe un site web care este activ și în viață, servește ca indicii foarte importante pentru hackeri și le face munca mult mai confortabilă decât ar trebui să fie. Rapoartele de eroare pot oferi informații vitale oricărei persoane care le caută.

Astfel , dezactivarea raportării erorilor PHP odată ce site-ul este activ asigură că cel puțin riscurile de securitate WordPress cauzate de dezvăluirea de informații sensibile referitoare la site-ul dvs. sunt minimizate. Pentru a dezactiva raportarea erorilor PHP, faceți modificări fișierului dvs. php.ini, după cum se arată mai jos:

  • error_reporting = 4339
  • display_errors = Dezactivat
  • display_startup_errors = Dezactivat
  • log_errors = Activat
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_repeated_errors = Activat
  • ignore_repeated_source = Dezactivat
  • html_errors = Dezactivat

Utilizați înregistrarea de securitate pentru a vă monitoriza securitatea WordPress

Urmărirea jurnalelor vă ajută să aflați ce atacuri se întâmplă pe site-ul dvs. și vă echipează să le opriți. Este o modalitate destul de bună de a vă îmbunătăți securitatea WordPress. Pentru a da un exemplu minim, dacă vă dați seama că majoritatea încercărilor de hacking provin dintr-o anumită zonă, eventual una pe care site-ul dvs. web nu o răspunde, puteți bloca acea zonă folosind firewall-ul. Este recomandabil să utilizați un plugin de audit de securitate pentru a păstra jurnalele de audit regulate.

Asta e tot!

Cu aceasta, am ajuns la sfârșitul ghidului nostru lung și cuprinzător pentru a vă securiza complet site-ul WordPress. Nu există nicio îndoială că această listă de verificare ar fi putut fi puțin copleșitoare pentru tine dacă nu te-ai fi gândit prea mult la asigurarea site-ului tău web înainte. Dar lucrul bun este că majoritatea acestor pași nu vă vor solicita prea mult efort pentru a le executa și, pe măsură ce trece timpul, va deveni o parte regulată a rutinei dvs. de întreținere WordPress. Pentru a fi corect, cei mai mulți dintre voi nu veți face toți pașii menționați mai sus și este în regulă. Dar cu cât luați mai multe dintre aceste măsuri de securitate, cu atât site-ul dvs. este mai sigur. Un mic efort suplimentar din partea dvs. acum va ajuta mult!