Cum să vă securizați site-ul WordPress: Sfaturi de securitate funcționale
Publicat: 2021-11-30
20% Reducere la WPMU Dev
Pentru acest articol, vom folosi găzduirea și instrumentele WPMU DEV. Puteți obține o reducere de 20% la WPMU DEV la abonament.
Securitatea WordPress este un subiect uriaș. Există mai multe lucruri pe care le puteți lua pentru a vă securiza site-ul WordPress și pentru a preveni ca hackerii și vulnerabilitățile să vă deterioreze site-ul de comerț electronic sau blogul.
Deși software-ul de bază WordPress este destul de sigur și este revizuit frecvent de sute de ingineri, există încă multe lucruri pe care le puteți face pentru a vă menține site-ul în siguranță.
Nu vrei să te trezești într-o dimineață pentru a-ți găsi site-ul în dezordine. Așadar, astăzi, vom acoperi o varietate de metode, tactici și abordări pe care le puteți utiliza pentru a vă îmbunătăți securitatea WordPress și a rămâne în siguranță.
De ce este importantă securitatea site-ului?
Orice site WordPress compromis vă poate afecta în mod semnificativ fluxul de numerar și credibilitatea. Atacatorul poate obține date despre clienți, parolă, poate injecta programe rău intenționate sau chiar poate infecta utilizatorii cu programe malware.
Un scenariu teribil, companiile ar putea fi obligate să cheltuiască ransomware atacatorilor pentru a recupera accesul la site. Peste 50 de milioane de utilizatori de site-uri web au fost avertizați că o pagină web pe care o vizitează poate conține programe malware sau poate fura date, potrivit Google.
Aceasta este o statistică live, site-urile web sunt piratate într-o zi.
În plus, în fiecare săptămână, Google pune pe lista neagră aproximativ 20.000 de site-uri web pentru malware și aproximativ 50.000 de site-uri web pentru phishing. Dacă rulați o pagină de companie, veți dori să acordați importanță securității site-ului.
Este într-adevăr treaba ta, în calitate de proprietar de afaceri online, să securizeze site-ul web al companiei în același mod în care este responsabilitatea ta să-ți protejezi un magazin real.
Este WordPress o platformă sigură?
Este WordPress sigur?
Aceasta este probabil prima întrebare pe care o aveți în minte. Da, în cea mai mare parte.
WordPress este sigur atâta timp cât proprietarii de site-uri iau în serios securitatea și respectă practicile recomandate. Folosirea de pluginuri și teme sigure, menținerea proceselor de conectare responsabile, utilizarea pluginurilor de securitate pentru a vă monitoriza site-ul și actualizarea periodică sunt bune practici.
WordPress, pe de altă parte, are reputația de a fi predispus la defecte de securitate și, prin urmare, nu este o platformă sigură de utilizat pentru o afacere. De cele mai multe ori, acest lucru se datorează faptului că utilizatorii continuă să urmeze cele mai proaste practici de securitate dovedite în industrie.
Hackerii rămân în fruntea jocului lor de criminalitate cibernetică utilizând software WordPress vechi, plugin-uri anulate, administrare proastă a sistemului, gestionare a acreditărilor și lipsa expertizei necesare pentru web și securitate în rândul utilizatorilor WordPress care nu sunt tehnicieni. Chiar și cele mai bune practici nu sunt întotdeauna respectate de liderii din industrie. Deoarece foloseau o versiune mai veche a WordPress, Reuters a fost piratat.
Acest lucru nu înseamnă că vulnerabilitățile nu sunt prezente. WordPress continuă să domine site-urile web infectate la care Sucuri, o companie de securitate multiplatformă, a lucrat într-un sondaj din T3 2017 (la 83 la sută). Aceasta este o creștere față de cifra din anul precedent de 74%.
Având în vedere că WordPress alimentează peste 42% din toate site-urile web de pe internet și sute de mii de combinații de teme și pluginuri din care să alegi, nu este surprinzător faptul că există vulnerabilități și sunt identificate continuu. Cu toate acestea, există o comunitate puternică în jurul platformei WordPress, care se asigură că aceste probleme sunt abordate cât mai curând posibil. Începând cu 2021, echipa de securitate WordPress este formată din aproximativ 50 de specialiști, inclusiv dezvoltatori principali și cercetători în securitate (de la 25 în 2017); aproximativ jumătate sunt angajați Automattic, iar câțiva lucrează în zona de securitate web.
Începeți cu Proper Hosting
Utilizarea unei gazde care oferă mai multe straturi de securitate este cea mai simplă modalitate de a vă menține site-ul în siguranță.
Economisirea de bani pe găzduirea site-ului înseamnă că puteți cheltui banii în altă parte în cadrul organizației dvs., așa că poate fi tentant să vă înscrieți la un furnizor de găzduire ieftin. Dar ar trebui să rezistați acestei tentații.
O gazdă ieftină poate provoca dureri de cap în viitor. Datele asociate cu adresa URL ar putea fi șterse complet, iar adresa URL ar putea începe să fie redirecționată în altă parte. Doar câteva exemple, există mai multe motive pentru care ar trebui să evitați să vă mulțumiți pentru găzduire ieftină care nu este demnă de afacerea dvs.
Securitatea suplimentară oferită de o gazdă de calitate este atribuită automat site-ului dvs. dacă plătiți puțin mai mult. În plus, puteți îmbunătăți performanța site-ului dvs. WordPress utilizând un serviciu de găzduire WordPress bun.
Creați o copie de rezervă a site-ului
Pentru a începe, faceți o copie de rezervă a backup-ului WordPress înainte de a face orice modificări site-ului dvs.
Există numeroase pluginuri de backup WordPress disponibile care pot fi folosite pentru a atinge același obiectiv.
Sunt disponibile atât gratuite, cât și plătite. cu toate acestea, doar câteva dintre cele sugerate sunt gratuite.
- UpdraftPlus
- BackWPup
Presupun că ați instalat și folosit unul dintre pluginurile WordPress de rezervă. Acum sunteți gata să treceți la pasul următor.
Recomand ca backup-urile să fie programate odată ce fiecare postare este publicată. După efectuarea oricăror modificări la postări sau la baza de date a blogului.
Creați parole puternice
Puteți face multe pentru a vă proteja site-ul WordPress, dar puțini oameni acordă atenție elementelor de bază.
Crearea de parole sigure este ceva ce ar trebui să faceți pentru toate site-urile de rețele sociale și conturile de e-mail.
În mod similar, deoarece site-urile WordPress sunt sparte ca orice altceva, este esențial să adoptați aceleași măsuri de precauție pentru site-ul dvs. WordPress. Nu mai contează cât de mare este blogul tău. Toate stârnesc curiozitatea hackerilor. LAUGH OUT LOUD!
Folosirea unei parole puternice însemna să nu folosești nimic personal pentru tine. Aproape totul ar trebui evitat, inclusiv numele dvs., data nașterii, ID-ul angajatului, numele iubitei și orice altceva care poate fi ghicit.
Este nevoie de timp pentru a sparge o parole
Ai probleme în a veni cu idei creative de parole? Pentru a stabili o parolă sigură, puteți utiliza întotdeauna orice instrument online de generare de parole. Folosesc LastPass Password Generator.
Schimbați URL-ul WP-Login
„yoursite.com/wp-admin” este adresa URL implicită pentru autentificarea la WordPress.
Dacă îl lăsați așa cum este, riscați să deveniți victima unui atac cu forță brută care vizează spargerea combinației nume de utilizator/parolă.
Este posibil să primiți un număr mare de înregistrări de spam dacă le permiteți utilizatorilor să se înregistreze pentru conturi de abonament. Schimbați adresa URL de conectare a administratorului sau adăugați o întrebare de securitate la pagina de înregistrare și autentificare pentru a evita acest lucru.
Puteți instala un plugin cum ar fi URL de conectare personalizată sau WPS Ascundere autentificare pentru a schimba adresa URL de conectare wp.
Schimbați numele de utilizator WordPress
Când creați un blog, vi se va oferi posibilitatea de a introduce un nume de utilizator, care va fi folosit pentru a vă conecta la blogul sau site-ul dvs. web.
Majoritatea oamenilor îl lasă ca „ admin ” în mod implicit și uită să îl schimbe ulterior.
Luați în considerare cât de simplu ar fi chiar și pentru un hacker sărac să prezică asta. haha! Am observat un rânjet pe fața ta.
Trebuie să-l faci unic și imposibil de ghicit. Dacă nu ești sigur cum să o faci, am pus un tutorial simplu despre schimbarea numelui de utilizator WordPress.
Autentificare cu doi factori
Ați mai folosit autentificarea cu doi factori pentru conturile dvs. Gmail? Dacă ești familiarizat cu el, probabil că ți-ai dat seama despre ce vorbesc.
Autentificarea cu doi factori este o tehnică simplă pentru a vă proteja site-ul WordPress de hackeri.
Veți primi un OTP în timp ce vă conectați dacă vă conectați blogul la telefonul mobil pentru autentificare cu doi factori. Te-ai putea autentifica introducând acel număr.
Acest lucru duce securitatea la un nou nivel și adaugă un alt strat mixului. O scurtă lecție despre autentificarea cu doi factori WordPress poate fi găsită aici.
Admin și pagina de conectare WordPress Protejați cu parolă
În general, hackerii au acces nerestricționat la folderul wp-admin și la pagina de autentificare. Acest lucru le oferă posibilitatea de a-și testa abilitățile de hacking sau de a lansa atacuri DDoS.
Pe partea de server, puteți implementa o protecție suplimentară prin parolă, care va opri în esență aceste solicitări.
Urmați pașii noștri pas cu pas pentru a vă asigura wp-admin-ul WordPress cu o parolă.
Limitați încercările de conectare
În WordPress, în mod implicit, utilizatorilor li se permite să încerce să se autentifice de câte ori doresc. Dacă uitați adesea care litere sunt majuscule, acest lucru vă poate ajuta, dar vă deschide și la atacuri cu forță brută.
Puteți limita numărul de încercări de conectare până când utilizatorii sunt blocați temporar. Vă reduce șansele de a fi atacat de forță brută, deoarece hackerul este blocat înainte ca atacul să fie finalizat.
Folosind un plugin WordPress pentru limitarea încercărilor de conectare, puteți activa cu ușurință această funcție.
Utilizând Setări > Încercări limitate de conectare, puteți modifica numărul de încercări de conectare după ce ați instalat pluginul.
Deconectați-vă utilizatorii inactiv în WordPress
Utilizatorii care sunt conectați se pot îndepărta ocazional de ecranele lor, prezentând un risc de securitate. Cineva poate prelua controlul asupra sesiunii, își poate schimba parolele și își poate modifica contul.
Acesta este motivul pentru care multe site-uri bancare și financiare blochează automat utilizatorii inactivi. Funcționalități similare pot fi implementate și pe site-ul dvs. WordPress.
Pluginul Inactive Logout trebuie instalat și activat. Pentru a configura setările pluginului, faceți clic pe Setări » Deconectare inactivă după activare.
Setați cronometrul și un mesaj de deconectare și ați terminat. Nu uitați să salvați modificările făcând clic pe butonul Salvare modificări.
Adăugați o întrebare de securitate în ecranul de conectare WordPress
Adăugarea unei întrebări de securitate pe ecranul dvs. de autentificare WordPress face ca obținerea accesului neautorizat să fie mult mai dificilă.
Instalarea pluginului WP Security Questions vă va permite să adăugați întrebări de securitate. Pentru a configura setările pluginului, accesați Setări » Întrebări de securitate după ce a fost activat.
Consultați tutorialul nostru despre cum să adăugați întrebări de securitate la WordPress pentru mai multe informații.
Dezactivați navigarea prin director
O altă etapă pe care o examinează un webmaster este aceasta. Când vine vorba de securitatea site-ului web, acesta este un fapt puțin cunoscut.
Cu toate acestea, dacă este activată navigarea în directorul rădăcină. Fișierele precum teme, pluginuri, imagini și multe altele pot fi accesate de un cititor, vizitator sau hacker.
Iată cum să preveniți navigarea în directoare în WordPress folosind fișierul .htaccess.
Dezactivați editarea fișierelor
În tabloul de bord WordPress, există un instrument de editare de cod care vă permite să vă schimbați tema și pluginurile pe măsură ce vă configurați site-ul.
Aspect>Editor este locul unde îl veți găsi. De asemenea, puteți accesa editorul de pluginuri accesând Plugins>Editor.
Vă recomandăm să dezactivați această funcționalitate odată ce site-ul dvs. este online. Hackerii pot introduce cod subtil și dăunător în tema și pluginul dvs. dacă obțin acces la panoul dvs. de administrare WordPress.
Codarea este adesea atât de subtilă încât nu îți vei da seama că nimic nu este în regulă până nu va fi prea târziu.
Pur și simplu introduceți următorul cod în fișierul wp-config.php.
define('DISALLOW_FILE_EDIT', true);Acest proces vă va ajuta să preveniți posibilitatea de a modifica pluginurile și fișierele teme din tabloul de bord.
Dezactivați XML-RPC în WordPress
Începând cu WordPress 3.5, XML-RPC a fost activat în mod implicit pentru a vă ajuta să vă conectați site-ul WordPress cu aplicații mobile și servicii web.
Un atac cu forță brută poate fi amplificat semnificativ de XML-RPC datorită naturii sale puternice.
În trecut, dacă un hacker dorea să încerce 500 de parole diferite pe site-ul tău, ar trebui să se conecteze de 500 de ori. Pluginul de blocare a autentificării ar prinde și bloca aceste încercări.
Cu toate acestea, cu XML-RPC, un hacker poate folosi funcția system.multicall pentru a încerca mii de parole cu doar 20 sau 50 de solicitări.
Prin urmare, dacă nu utilizați XML-RPC, atunci ar trebui să îl dezactivați. Acest lucru poate fi gestionat de un firewall dacă utilizați firewall-ul aplicației web menționat mai sus.
Ascunde fișierele wp-config.php și .htaccess
În timp ce ascunderea fișierelor .htaccess și wp-config.php ale site-ului dvs. pentru a împiedica hackerii să le acceseze este o metodă sofisticată pentru creșterea securității site-ului dvs., este o practică inteligentă dacă sunteți serios în ceea ce privește securitatea dvs.
Recomandăm insistent dezvoltatorilor experimentați să adopte această opțiune, deoarece este esențial să faceți mai întâi o copie de rezervă a site-ului dvs. și să continuați cu prudență. Orice eroare ar putea face site-ul dvs. web indisponibil.
După ce ați făcut o copie de rezervă, trebuie să efectuați două lucruri pentru a ascunde fișierele:
Pentru a începe, adăugați următorul cod în fișierul wp-config.php:
<Files wp-config.php> order allow,deny deny from all </Files>Veți adăuga următorul cod în fișierul dvs. .htaccess într-un mod similar.
<Files .htaccess> order allow,deny deny from all </Files>Deși procedura este simplă, ar trebui să vă asigurați că aveți o copie de rezervă în cazul în care ceva nu merge bine.
Eliminați versiunea WP
Am discutat anterior despre upgrade-urile WordPress. Acum este, de asemenea, logic să păstrați versiunea WordPress ascunsă de hackeri.
Sunt curios cum pot vedea versiunea WordPress pe care vă aflați, având în vedere că aveți acreditările de conectare.
Hackerii pot verifica cu ușurință versiunea WordPress, uitându-se la pagina sursă. Tot ce au de făcut acum este
CTRL F – clic dreapta (pe pagina web) – Vizualizare sursa paginii (Căutare versiune). Va semăna cu eticheta văzută mai jos.
Activați un paravan de protecție pentru aplicații web
Probabil că sunteți conștient de conceptul de firewall, care este un program care vă ajută să vă protejați computerul de diferite tipuri de atacuri rău intenționate. Aproape sigur aveți un firewall instalat pe computer.
Un Web Application Firewall (WAF) este un tip de firewall conceput special pentru a proteja site-urile web. Serverele, anumite site-uri web sau grupuri mari de site-uri web pot fi toate protejate.
Un firewall de aplicație web (WAF) pe site-ul dvs. WordPress va acționa ca un firewall între site-ul dvs. și restul internetului. Un firewall urmărește comportamentul suspect, detectează atacuri, viruși și alte evenimente nedorite și blochează orice consideră periculos.
Instalați certificatul SSL
SSL, sau Secure Sockets Layer, este acum utilizat pe scară largă pentru toate tipurile de site-uri web. Inițial, SSL a fost necesar pentru a face un site web sigur pentru anumite procese, cum ar fi procesarea plăților. Astăzi, totuși, Google și-a dat seama de importanța sa și oferă site-urilor web compatibile cu SSL un clasament mai ridicat în rezultatele căutării sale.
SSL este necesar pentru orice site care gestionează date sensibile, cum ar fi parole sau numere de card de credit. Toate datele dintre browserul web al utilizatorului și serverul dvs. web sunt transferate în text simplu dacă nu aveți un certificat SSL.
Hackerii ar putea să citească asta. Utilizarea unui SSL criptează informațiile importante înainte de a fi trimise între browserul lor și serverul dvs., ceea ce face mai dificilă citirea și sporind securitatea site-ului dvs.
Prețul mediu SSL pentru site-urile web care acceptă informații sensibile este de aproximativ 70-199 USD pe an. Nu trebuie să plătiți pentru un certificat SSL dacă nu acceptați date sensibile. Aproape fiecare furnizor de găzduire oferă un certificat SSL Let's Encrypt gratuit pe care îl puteți utiliza pentru a vă securiza site-ul.
Spune nu temelor anulate
O temă premium WordPress arată mai profesională și oferă mai multe opțiuni de personalizare decât o temă gratuită. Indiferent, este dificil să argumentezi că primești ceea ce plătești cu o temă gratuită.
Toate temele premium sunt concepute de dezvoltatori cu înaltă experiență și sunt testate înainte de a fi publicate. Dacă ceva nu merge bine cu site-ul dvs., puteți obține asistență completă. Nu există restricții privind personalizarea unei teme. În plus, actualizarea unei teme este obișnuită.
Există unele site-uri care oferă, de asemenea, teme anulate sau crăpate. Temele anulate sunt versiuni ale temelor premium care au fost piratate și sunt disponibile ilegal. Acest lucru vă poate pune site-ul în pericol. Codurile rău intenționate ascunse în aceste teme ar putea să vă distrugă site-ul web și baza de date sau să vă fure acreditările de conectare.
Deși s-ar putea să economisiți un pic de bani, este important ca orice proprietar de site web să evite utilizarea acestor teme WordPress anulate.
Actualizarea regulată a versiunii WordPress
Cel mai eficient mod de a vă menține site-ul WordPress în siguranță este să îl mențineți actualizat. Câteva modificări sunt adesea făcute cu fiecare actualizare, inclusiv actualizări de securitate. Actualizarea regulată a software-ului vă poate împiedica să deveniți o țintă pentru exploit-uri și lacune de care profită hackerii pentru a obține acces la site-ul dvs.
Aceleași motive se aplică și pentru actualizarea pluginurilor și temelor.
Actualizările minore sunt descărcate automat de WordPress în mod implicit. Cu toate acestea, actualizările care necesită modificări majore trebuie făcute direct prin tabloul de bord de administrare WordPress.
Schimbați prefixul tabelului bazei de date
Este posibil să fi observat o fereastră de dialog care cere un anumit prefix pentru a începe ceva de genul wp_ în timp ce instalați WordPress pe serverele dvs. Asta implică. Aceasta este baza de date pentru site-ul dvs. WordPress. Numele folderului este wp_.
Nu este surprinzător că orice este comun poate fi dedus de așa-numiții hackeri. De asemenea, este o idee bună să modificați prefixul pentru orice ați creat. Orice merge pe mywpsite_, friendswp_ și așa mai departe.
Pot realiza acest lucru pur și simplu accesând baza de date a site-ului dvs. web. Cu toate acestea, dacă nu sunteți familiarizat cu toate detaliile tehnice, pluginurile sunt întotdeauna disponibile.
Instalați cel mai bun plugin de securitate WordPress
Există mai multe plugin-uri de securitate pentru WordPress, atât gratuite, cât și premium. Și este o alegere excelentă să instalați unul dintre pluginurile pentru site-ul dvs. WordPress.
În acest ghid, vom vedea cum putem crea un mediu de securitate solid în jurul site-ului nostru WordPress prin Defender Pro construit de WPMU DEV.
Funcțiile evidențiate ale Defender Pro
Puternicele bariere de securitate WordPress ale Defender și tehnologiile de acoperire împotriva hackerilor, a forțelor brute și a roboților dăunători.
- Verificări de securitate în mod regulat
- Blocare IP pentru geolocalizare
- Mascarea și protejarea autentificărilor
- Înregistrarea Auditurilor
- Autentificare folosind doi factori
- Monitorizarea Blocklist
- Rapoarte despre vulnerabilități
- Restaurarea și repararea fișierelor modificate
Instalați pluginul Defender Pro WordPress
După instalarea Defender Pro, veți găsi opțiune clasificată disponibilă, care este ușor de înțeles chiar și pentru începători.
Tabloul de bord, Recomandări, Scanare malware, Înregistrare de audit, Firewall, WAF, Instrumente 2FA, Setări, Tutoriale.
După ce finalizați scanarea, veți vedea un ecran ca acesta în Defender Pro Dashboard.
Când site-ul găsește o problemă de securitate, pluginul oferă un sfat despre cum să procedați cu remedierea. Este unul interesant.
Defender Pro duce lucrurile cu un pas mai departe, oferind sugestii amănunțite, aplicabile, care sunt adaptate site-ului și abordează riscurile actuale și viitoare.
Ceea ce face ca aceste sugestii să iasă în evidență este faptul că puteți ajusta acțiunea pe care o întreprindeți.
Dacă ați activat din greșeală „ actualizare chei de securitate vechi ”, este posibil să dezactivați sau să modificați frecvența de memento. Acest lucru menține site-ul în siguranță și actualizat.
Concluzie – WordPress Security
O metodă de a vă securiza site-ul WordPress poate dura ceva timp, dar va merita până la urmă. În loc să spun că site-ul meu WordPress a fost spart.
V-am arătat atât metodele pentru utilizatorii de bricolaj, cât și cea de plugin. Oricum, optați pentru securitatea unui site web WordPress este crucială pentru orice utilizator.
20% Reducere la WPMU Dev
Defender Pro este pluginul de securitate fantastic pentru a vă proteja site-ul WordPress. Puteți obține o reducere de 20% la WPMU DEV la abonament.