Securitate WordPress – Sfaturi esențiale pentru fiecare proprietar de site

Știați că există peste 90.978 de atacuri pe site- urile WordPress în fiecare minut? Din fericire, chiar dacă acest număr sună uriaș, dacă urmați regulile de bază de securitate, puteți preveni majoritatea atacurilor potențiale și puteți face site-ul dvs. rezistent la atacuri.

Sau, cel puțin, face să fie atât de greu să pătrundă, încât hackerii ar viza mai degrabă unul dintre miile de cei prost securizat. Ceea ce nu este atât de greu de făcut, mai ales dacă luați în considerare că multe atacuri sunt efectuate după ce scanerele automate de vulnerabilități găsesc posibile căi de acces. Deci, cum să creșteți vertiginos securitatea site-ului dvs. WordPress? Iată cele 6 sfaturi esențiale.

1. Țineți actualizate instalarea, temele și pluginurile dvs. WP

O idee nebănuită, dar deseori ignorată. Potrivit WordPress.org , 1/3 din toate site - urile WordPress nu a fost actualizată la cea mai recentă versiune. În plus, aproape 2/3 din toate gazdele web folosesc PHP mai vechi de 7.0. Cadrele de instalare și server învechite ale WordPress reprezintă o mare amenințare pentru site-ul dvs. și cresc riscul unei breșe de succes, deoarece hackerii vor încerca să acceseze site-ul dvs. folosind vulnerabilități necorectate.

De fapt, dacă îți menții toate temele, pluginurile, precum și WordPress-ul la zi, vei fi mai sigur decât 75% din toate site-urile legitime – deoarece se estimează că trei din patru site-uri conțin vulnerabilități necorecte. Din fericire, obținerea celor mai recente versiuni ale pluginurilor, temelor și WP-ul în sine este destul de simplă - tot ce aveți nevoie sunt câteva clicuri pe un buton.

În același timp, asigurarea faptului că serverul dumneavoastră rulează cea mai recentă versiune PHP poate fi puțin mai consumatoare de timp. De aceea, cel mai bine este să contactați serviciul de asistență pentru găzduire și să-i cereți să vă îndrume către un ghid despre cum îl puteți actualiza singur sau chiar să le cereți să îl actualizeze pentru dvs.

2. Instalați un scanner de malware și un firewall

Dacă credeai că doar computerul tău poate fi afectat de programe malware, viruși și atacuri cu forță brută, nu ai putea greși mai mult. Nu numai că WordPress poate fi afectat, dar este, de fapt, cel mai infectat site CMS , care cel mai probabil are foarte mult de-a face cu popularitatea sa.

Vestea bună este că există multe firewall-uri gratuite și plătite și scanere de malware pentru WordPress. Una dintre cele mai populare este Wordfence Security , care oferă atât scanare malware, cât și firewall și vine atât în ​​versiuni gratuite, cât și în versiuni plătite.

3. Obțineți un VPS și transformați-l într-o fortăreață

În comparație cu o găzduire partajată, un VPS vă permite să controlați fiecare aspect al configurației sale. Datorită acestui fapt, nu numai că vă puteți face site-ul mai rapid, ci vă puteți asigura și că mediul său de găzduire – serverul – este securizat corespunzător.

Pe un VPS negestionat, depinde de dvs. să alegeți sistemul de operare (de exemplu, CentOS este considerat mai sigur în comparație cu Ubuntu), firewall-ul și alte programe pe care le instalați, cum ar fi scanere malware (pe care ar trebui să le instalați atât pe WordPress, cât și pe serverul însuși).

Mai mult, instalând WordPress-ul pe un VPS unde aveți acces root, este ușor să schimbați lucruri precum parolele MySQL sau să redenumiți folderele WordPress și să reconfigurați fișierele acestuia pentru a reduce șansa unui potențial atac. Deși unele dintre acestea se pot face și folosind pluginuri de securitate

Desigur, pentru a beneficia de toate beneficiile unui server privat virtual (viteză, flexibilitate și scalabilitate pentru a numi câteva), ar trebui să închiriați un server de la o companie care oferă diferite pachete de prețuri care sunt ușor de actualizat dacă aveți nevoie de mai multe resurse. Puteți vedea un exemplu grozav al unei astfel de oferte aici .

4. Ascundeți /wp-admin și instalarea dvs. WordPress

De ce să spuneți lumii că utilizați WordPress în primul rând? Deși este un sistem excelent de gestionare a conținutului, nu trebuie neapărat să vă lăudați că îl rulați. Mai ales că oferă potențialului intrus informații valoroase. De exemplu, dacă nu ascundeți WordPress, site-uri web precum Ce temă WordPress este asta? dezvăluie informații nu numai despre tema pe care o utilizați, ci și despre unele dintre pluginuri. Este ca și cum i-ai spune hackerului , hei, așa poți intra înăuntru:

Deci, cum ascundeți informațiile site-ului dvs. WP de privirile indiscrete ale potențialilor intruși? Din fericire, nu aveți nevoie deloc de abilități tehnice. Acolo unde există cerere, există pluginuri WordPress, pe care le puteți folosi pentru a face asta – cel mai popular fiind Hide My WP by the wave, care vă poate ascunde pagina de autentificare și poate face detaliile despre site-ul dvs. WordPress invizibile (din păcate, există nicio versiune gratuită).

Alternativ, puteți obține versiunea gratuită a iThemes Security , care nu vă oferă atât de multe opțiuni de ascundere (deși vă permite să ascundeți pagina de conectare), dar vine cu multe alte avantaje de securitate.

5. Schimbați-vă numele de utilizator WP și păstrați-l ascuns

Așa cum nu ar trebui să utilizați cuvântul parolă ca parolă reală, părăsirea numelui de utilizator implicit WordPress poate avea consecințe grave. În cele din urmă, este probabil primul lucru pe care orice potențial intrus ar încerca să-l ghicească, așa că, folosindu-l, îi este incredibil de ușor să-și dea seama de detaliile contului tău de administrator.

Cum să-l schimb? Există două moduri în care poți face asta. Puteți căuta un plugin care poate face acest lucru pentru dvs. sau mergeți pe calea manuală. Personal, o prefer pe cea din urmă – pentru că este la fel de rapid și ușor, și oricine poate face asta. Dar, pentru că WordPress nu vă oferă o opțiune nouă pentru a-l schimba, trebuie să utilizați o mică soluție. Mai întâi, conectați-vă la site-ul dvs. și accesați Utilizatori > Adăugați nou.

Odată ajuns acolo, introduceți numele de utilizator al noului dvs. cont de administrator și asigurați-vă că ați setat rolul de utilizator la Administrator. După ce ați terminat, faceți clic pe Afișați parola și modificați sau copiați parola implicită (securizată).

După ce utilizatorul este creat, deconectați-vă de pe site și conectați-vă folosind noul utilizator. Accesați Utilizatori > Toți utilizatorii și eliminați vechiul cont de administrator WordPress. Dar asta nu este tot. Aveți nevoie de un cont cu care să vă publicați postările, nu? În loc să le publicați folosind un administrator care, datorită permalink-urilor, face numele său de utilizator ușor de ghicit (cu excepția cazului în care vă jucați cu ei), continuați și creați un cont separat. De data aceasta, în loc să-i setați rolul unui administrator, setați-l pe unul care nu are capabilități de administrator (cum ar fi cel al unui autor sau al unui editor).

După ce ați terminat, continuați și setați autorul tuturor postărilor existente la noul utilizator (puteți face asta în Toate postările > Editare rapidă sub fiecare articol).

6. Securizează Conturile de utilizator WordPress existente

Lucrezi cu asistenți virtuali sau ai angajați care pot accesa site-ul tău WordPress? În acest caz, cel mai bine este să nu le oferiți acces la toate pluginurile și datele. În cele din urmă, probabil că nu trebuie să poată configura toate pluginurile de pe site-ul tău. Și, cu excepția cazului în care sunt un dezvoltator de încredere, cu siguranță nu ar trebui să aibă acces la editorul de teme. Cum să le restricționăm accesul? Una dintre modalități este să-și creați conturile și să le setați rolurile la unul dintre cele implicite ale colaboratorului, autorului sau editorului.

Dar dacă doriți să îi blocați de la mai mult decât restricționează aceste roluri, oferindu-le în același timp acces la părți ale site-ului web pe care setările implicite nu le oferă? În acest caz, puteți utiliza un plugin gratuit, cum ar fi User Role Editor , care vă permite să creați noi roluri și să setați ce elemente ale site-ului web pot fi accesate de aceștia.

7. Monitorizați activitatea prin jurnalul de audit

Și ce se întâmplă dacă nu puteți restricționa utilizatorii să acceseze majoritatea elementelor vulnerabile de pe site-ul dvs. web, dar ați dori măcar să știți cine a schimbat sau a editat ce, în cazul în care ceva nu merge bine? Pentru a obține o imagine de ansamblu sub forma unui jurnal de audit cuprinzător, puteți instala jurnalul de audit de securitate WP . Versiunea sa gratuită este mai mult decât suficientă pentru a vă oferi o imagine de ansamblu convenabilă asupra activității angajaților dvs. și a VA:

8. Faceți autentificarea mai sigură folosind Google Authenticator

Vorbind despre utilizatori, mai există un lucru pe care îl puteți face pentru a vă face site-ul și mai sigur. Imaginează-ți că ți-au furat acreditările WordPress (sau ale angajaților tăi). În acest caz, în funcție de rolul de utilizator al angajatului dvs., un intrus ar putea avea acces la întregul site web WP. Pentru a preveni acest lucru, luați în considerare adăugarea unei autentificări cu doi factori la conectare. Cel mai simplu mod de a face acest lucru este pluginul Google Authenticator . Odată ce s-a terminat, chiar dacă cineva vă obține numele de utilizator și parola, nu se va putea conecta fără codul furnizat de aplicația Google Authenticator.

După cum puteți vedea, chiar dacă WordPress este considerat cel mai vulnerabil sistem de gestionare a conținutului dintre toate cele populare, nu este atât de greu să minimizați sau chiar să scăpați complet de cele mai comune riscuri și să asigurați cele mai periclitate elemente de pe site-ul dvs.

Dacă urmați sfaturile de mai sus, fiți precaut când acordați acces la site-ul dvs. altor persoane și mențineți elementele site-ului dvs. la zi, site-ul dvs. și, odată cu acesta, afacerea dvs. va fi ferită de orice potențial intruși. Ca să nu mai vorbim de cât de mult poți economisi, a prevenit doar încălcarea securității.