3 moduri de a vă asigura site-ul WordPress împotriva atacurilor

Publicat: 2017-12-27

În zilele noastre, fiecare site web trebuie să ia în serios securitatea. Acest lucru este valabil mai ales dacă folosește un sistem de management al conținutului (CMS) precum WordPress. Acest tip de platformă stochează de obicei o mulțime de informații sensibile, ceea ce o face o țintă. Dacă cineva intră pe site-ul dvs., va trebui să petreceți timp prețios descoperind cum a intrat și reparând daunele.

Vestea bună este că WordPress este foarte flexibil atunci când vine vorba de creșterea măsurilor de securitate ale site-ului dvs. De exemplu, există mai multe moduri prin care vă puteți proteja pagina de conectare de atacuri și o puteți ascunde de persoanele pe care nu le cunoașteți. Cu câteva modificări ici și colo, site-ul dvs. poate deveni rapid o fortăreață.

În acest articol, vom discuta despre importanța securității WordPress. Apoi vă vom prezenta trei metode pe care le puteți utiliza pentru a vă face site-ul mai sigur. Să ajungem la asta!

De ce este importantă securitatea WordPress

Pentru a fi clar, WordPress este deja o platformă foarte sigură. Cu toate acestea, este, de asemenea, un program masiv cu milioane de utilizatori și mii de opțiuni de plugin și teme. Cu atâtea se întâmplă, este firesc ca unii utilizatori să fie nevoiți să se confrunte cu probleme de securitate. În cele mai multe cazuri, puteți urmări aceste probleme până la acreditări ușor sparte, o eșec de actualizare consecventă și alte erori ale utilizatorului.

Pe de altă parte, vei fi mult mai în siguranță dacă ești genul de persoană care rămâne la curent cu cea mai recentă versiune de WordPress și monitorizează toate pluginurile și temele pe care le folosești. A ține pasul cu securitatea site-ului dvs. poate suna ca o mulțime de muncă, dar a fi precaut este cel mai bun curs de acțiune. Iata de ce:

  • WordPress este o țintă pentru atacuri. Popularitatea Sistemului de management al conținutului (CMS) îl face favoritul atacatorilor online. La urma urmei, găsirea unei vulnerabilități într-un singur plugin sau temă îi poate ajuta să obțină acces la mii de site-uri web.
  • Trebuie să protejați informațiile sensibile ale utilizatorului. Chiar dacă nu aveți de-a face cu niciun număr de card de credit prin intermediul site-ului dvs. web, asta nu înseamnă că nu ar trebui să vă protejați confidențialitatea utilizatorilor.
  • Hackerii ar putea răspândi programe malware prin site-ul dvs. web. În zilele noastre, este o practică comună ca atacatorii să folosească site-uri piratate pentru a oferi malware vizitatorilor lor. Inutil să spunem că nu doriți ca dispozitivele utilizatorilor să se infecteze din cauza practicilor de securitate laxe din partea dvs.

Din fericire, puteți face multe pentru a vă proteja site-ul WordPress în mod preventiv. De exemplu, folosirea unei teme bine codificate care primește actualizări constante este întotdeauna o idee inteligentă. Propria noastră temă Uncode are evaluări excelente și funcții de securitate, de exemplu, și suntem mereu la dispoziție pentru a răspunde la orice întrebări pe care le-ați putea avea despre cum să vă protejați în continuare site-ul. După ce ați rezolvat tema, există alte câteva măsuri simple pe care le puteți lua.

3 moduri de a vă asigura site-ul WordPress împotriva atacurilor

În această secțiune, vă vom învăța trei moduri de a vă securiza site-ul WordPress împotriva atacurilor, atât cu și fără pluginuri. Deoarece veți face câteva modificări destul de semnificative în funcționalitatea site-ului dvs., ar trebui să creați o copie de rezervă înainte de a începe. În acest fel, dacă ceva nu merge bine (ceea ce nu ar trebui!), veți putea să vă restaurați site-ul în câteva minute și să încercați din nou.

1. Utilizați autentificarea cu doi factori (2FA)

De obicei, tot ce este nevoie pentru a vă conecta la un site web sunt numele dvs. de utilizator și parola. Cu toate acestea, unele site-uri fac un pas mai departe și vă cer să introduceți un cod unic trimis pe e-mail sau pe smartphone. Aceasta este cunoscută sub numele de autentificare cu doi factori (2FA). Folosind această metodă, chiar dacă cineva vă pune mâna pe acreditările, tot nu va putea accesa contul dvs.

WordPress nu acceptă 2FA din cutie. Cu toate acestea, îl puteți implementa folosind instrumentele potrivite. Există o mulțime de plugin-uri excelente 2FA disponibile, dar suntem parțiali de miniOrange Two Factor Authentication din cauza tuturor caracteristicilor pe care le oferă:

Pluginul miniOrange de autentificare cu doi factori.

Pentru a începe cu această tehnică, mai întâi va trebui să instalați și să activați pluginul. Apoi, veți putea accesa o nouă filă miniOrange 2-Factor din tabloul de bord. Prima dată când dați clic pe el, va trebui să completați câteva câmpuri pentru a înregistra un cont miniOrange:

Înregistrarea unui cont miniOrange.

Ulterior, veți primi un cod unic printr-un e-mail sau un mesaj text, pe care îl puteți folosi pentru a activa pluginul.

Când ați terminat, puteți sări la fila Setup Two-Factor din partea de sus a ecranului și puteți alege ce tipuri de 2FA vor putea folosi vizitatorii dvs. Pentru a oferi utilizatorilor cele mai multe opțiuni, vă recomandăm să utilizați Verificarea e-mailului ca metodă implicită:

Alegerea verificării e-mailului ca metodă 2FA.

După ce ați ales metodele dorite, vă puteți deconecta. Data viitoare când încercați să accesați tabloul de bord, veți vedea o opțiune pentru a activa 2FA pentru contul dvs. Acum, toți utilizatorii site-ului dvs. vor putea să opteze pentru 2FA. Site-ul dvs. WordPress va fi mai sigur pentru el!

2. Lista albă a adreselor IP care vă pot accesa tabloul de bord

Tabloul de bord WordPress este locul unde se întâmplă cea mai mare parte a magiei. Ca atare, nu doriți ca oricine să aibă acces. Doar membrii echipei de încredere ar trebui să poată intra în tabloul de bord al site-ului dvs. și să folosească funcțiile cheie ale acestuia.

Pagina ta de autentificare este linia ta principală de apărare împotriva intruziunilor nedorite. Cu toate acestea, uneori atacatorii pot obține acces la acreditările unuia dintre membrii echipei tale. Dacă se întâmplă acest lucru, veți avea nevoie de o a doua linie de apărare pentru a-i opri. Acolo intră fișierul tău .htaccess .

Acest fișier vă permite să furnizați instrucțiuni specifice serverului dvs. De exemplu, îi puteți spune să blocheze accesul la tabloul de bord pentru oricine al cărui IP nu se află pe o listă preaprobată. Când adăugați o adresă IP la acea listă, o „inserați pe lista albă”. Această metodă necesită puțină muncă în avans, dar vă poate transforma site-ul într-o fortăreață.

În primul rând, va trebui să știi adresele IP ale tuturor colegilor tăi. Pentru cele mai bune rezultate, veți dori, de asemenea, să vă asigurați că acele IP-uri sunt statice. Membrii echipei pot folosi un site precum What is My IP pentru a afla care sunt adresele lor și pot contacta furnizorii lor de internet pentru a le putea atribui o adresă statică dacă nu au deja una.

Aflați care este adresa dvs. IP.

Cel mai bine este să eliminați mai întâi aceste sarcini, astfel încât să puteți introduce simultan toate IP-urile din lista albă. Când aveți lista de adrese pregătită, va trebui să găsiți și să accesați fișierul .htaccess al site-ului dvs. Pentru a face acest lucru, vă recomandăm să utilizați File Transfer Protocol (FTP) și un instrument precum FileZilla.

Doar conectați-vă la site-ul dvs. utilizând acreditările dvs. FTP și accesați folderul public_html . Apoi, căutați fișierul .htaccess în:

Fișierul dvs. htaccess.

Acum, faceți clic dreapta pe fișier și alegeți opțiunea Vizualizare/Editare . Procedând astfel, fișierul va fi deschis pe computer folosind editorul de text implicit. Ar trebui să existe deja câteva linii de cod în interior, pe care nu doriți să le modificați. În schimb, derulați până în partea de jos a fișierului și căutați linia WordPress #END .

Va trebui să inserați următorul fragment chiar înainte de acea linie:

 <IfModule mod_rewrite.c>
RewriteEngine activat
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Aceste cinci linii de cod îi spun WordPress să verifice adresa IP a oricărei persoane care încearcă să vă acceseze tabloul de bord. Dacă adresa lor nu se potrivește cu una dintre cele din lista albă (există două în exemplul de mai sus), vor primi o eroare 403:

Un exemplu de eroare 403.

Puteți adăuga câte adrese doriți folosind același format și puteți bloca și alte pagini. De exemplu, dacă doriți să blocați pagina de autentificare pentru oricine, cu excepția celor din lista albă, tot ce trebuie să faceți este să adăugați o linie suplimentară de cod:

 <IfModule mod_rewrite.c>
RewriteEngine activat
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [SAU]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Când ați terminat de făcut modificări la .htaccess , salvați fișierul și închideți editorul de text. Ar trebui să vă puteți accesa în continuare tabloul de bord și pagina de conectare ca de obicei, cu excepția cazului în care ați uitat să vă înscrieți propria adresă IP pe lista albă!

3. Utilizați un plugin cuprinzător de securitate WordPress

Dacă alegeți să luați o singură măsură pentru a vă proteja site-ul WordPress, utilizarea unui plugin de securitate vă poate obține cel mai mare kilometraj. Există o mulțime de plugin-uri de securitate populare disponibile și multe sunt capabile să vă protejeze site-ul web de majoritatea tipurilor de atacuri.

Unul dintre preferatele noastre se numește All In One WP Security & Firewall. Oferă o gamă largă de funcții și o interfață ușor de utilizat:

Pluginul All in One WP Security Firewall.

Până acum, am vorbit mult despre securizarea paginilor de autentificare și tablou de bord WordPress. Acest plugin vă permite să faceți ambele, folosind funcționalitatea încorporată pe care o puteți activa cu câteva clicuri. De exemplu, puteți limita numărul de încercări de conectare pe care cineva le poate face înainte de a fi blocat temporar de pe site. Această caracteristică este disponibilă din fila WP Security > Autentificare utilizator :

Configurarea unui număr maxim de încercări de conectare.

De asemenea, puteți configura pluginul pentru a vă anunța când cineva este blocat de la pagina de conectare și pentru a bloca complet adresele IP. All In One WP Security & Firewall include, de asemenea, un firewall cuprinzător, pe care îl puteți configura din fila WP Security > Firewall :

Activarea unui firewall pentru site-ul dvs. web.

De îndată ce activați pluginul, prima dvs. mișcare ar trebui să fie să aruncați o privire la documentația acestuia. Există o mulțime de setări pe care veți avea nevoie pentru a învăța cum să le utilizați, dar un curs rapid rapid ar trebui să vă spună tot ce trebuie să știți pentru a vă securiza site-ul.

Nu în ultimul rând, Kinsta are câteva informații excelente pentru blocarea site-ului dvs., verificați-l dacă aveți nevoie de mai multe sfaturi despre securitatea WordPress.

Concluzie

Securitatea WordPress este ceva despre care doriți să fiți proactiv. Un mic efort petrecut pentru a vă proteja site-ul de la început vă va scuti de multe dureri de cap pe drum. Dacă sunteți norocos, nu va trebui niciodată să vă ocupați de consecințele intruziunilor nedorite în site-ul dvs. web și vă veți putea concentra pe îmbunătățirea acestuia.

Vestea bună este că există o mulțime de modalități simple de a vă securiza site-ul. Încă o dată, iată trei dintre preferatele noastre:

  1. Utilizați 2FA pe pagina dvs. de conectare.
  2. Lista albă a adreselor IP ale membrilor echipei tale.
  3. Utilizați un plugin cuprinzător de securitate WordPress.

Aveți întrebări despre cum să vă protejați site-ul WordPress? Întrebați în secțiunea de comentarii de mai jos!