Securitate WordPress: îmbunătățiți securitatea site-ului dvs. cu acești pași

Pe web, cel mai mare număr de site-uri rulează pe platforma WordPress. Înseamnă că WordPress guvernează web. Atrage atenția elementelor rău intenționate de pe web. Prin urmare, Google interzice aproape 20.000 site-uri web pentru malware și 50.000 site-uri pentru phishing în fiecare an.

Într-un astfel de scenariu sumbru, securitatea site-ului web devine vitală. Incidentele de atacuri înregistrate sunt cele mai mari pe platforma WordPress datorită numărului mai mare de site-uri web care rulează cu cod WordPress. Prin urmare, astăzi aș dori să evidențiez câțiva pași acționați care v-ar ajuta să vă asigurați site-ul WordPress.

Securizarea intrării utilizatorilor pe site-ul dvs. WordPress

În viața reală, atunci când vrem să asigurăm o locație precum acasă, birou sau fabrică, ne uităm mai întâi la punctele de acces unde elementele răutăcioase sau rău intenționate pot încerca să obțină o intrare. Aceeași strategie trebuie aplicată pentru securizarea site-ului dvs. WordPress.

Acum, să evaluăm posibilele puncte de intrare prin hackeri sau utilizatorii neintenționați pot avea acces la backend-ul sau codul sursă. În mod implicit, URL-ul de acces backend WordPress se termină cu:

/wp-login.php sau /wp-admin/

Prin urmare, trebuie să luați măsurile adecvate pentru a bloca intrarea utilizatorilor nedoriți în pagina dvs. de backend WordPress.

Schimbați adresa URL de conectare

Dacă sunteți un dezvoltator WordPress, știți deja cum să schimbați adresa URL implicită a backend-ului site-ului, dar pentru utilizatorii cu putere sau de tip DIY, un plugin sau o extensie de securitate avansată vă poate împuternici să faceți acest lucru. Astfel, te poți schimba

• /wp-login.php la /Your-Domain-Name-login.php
• /wp-admin/sau /Your-Domain-Name-admin/
• /wp-login.php?action=register sau /Your-Domain-Name-registration

Astfel, acest tip de adresă URL personalizată vă poate ajuta să vă protejați foarte mult de atacurile cu forță brută.

Schimbă numele

În mod implicit, majoritatea dezvoltatorilor WordPress setează cuvântul cheie „Admin/admin” ca nume de utilizator. Face ca munca hackerilor și a utilizatorilor nedoriți să fie ușor de accesat backend-ul site-ului dvs. WordPress și trebuie să folosească baza de date Guess Work (GWDb) doar pentru a ghici parola.

Dacă vă schimbați numele de utilizator implicit cu ceva care este imprevizibil, cum ar fi adresa dvs. de e-mail, puteți reduce amenințarea atacatorilor și a software-ului acestora.

Schimbați parola

La fel ca numele de utilizator, parola este întotdeauna amenințată. Există multe modalități de a proteja activitățile de ghicire a parolei. De exemplu, utilizarea unei parole foarte complexe cu o combinație de litere mici, majuscule, numere și simboluri.

Cu toate acestea, tendințele recente de autentificare cu doi factori reprezintă o modalitate excelentă și solidă de a asigura accesul la backend pentru toate nivelurile de utilizatori. Telefoanele mobile/smartphone-urile sunt dispozitive utile pentru a accesa OTP (One-Time Password) pentru a autentifica sistemul 2FA.

Configurați blocarea și interdicția

Pentru a preveni încercările de forță brută și pentru a implementa blocarea sau interzicerea adreselor IP respective, există multe pluginuri și software disponibile pentru a recunoaște încercările repetate de autentificare sau înregistrare. Plugin-urile vă permit să setați un număr de încercări eșuate și să ofere alte funcții pentru a preveni accesul neautorizat al backend-ului site-ului dvs.

Securizarea tabloului de bord administrativ al site-ului dvs. WordPress

Pentru utilizatorii de backend WordPress, tabloul de bord este cea mai captivantă și cea mai utilizată parte a backend-ului. Oferă toate instrumentele și opțiunile pentru a gestiona întregul site web, de la utilizarea implicită până la personalizare. Dacă cineva sparge tabloul de bord cu succes, se va dovedi cea mai mare victorie pentru hackeri și cea mai dăunătoare pentru proprietarii site-ului.

Prin urmare, ar trebui să luăm măsuri speciale pentru tabloul de bord de administrare WordPress . Următoarele sunt măsuri posibile pe care le putem lua în considerare de acum înainte.

Aveți grijă de directorul „wp-admin”.

Totul este plasat într-un director wp-admin care vă permite să gestionați întregul site web, inclusiv resursele și fișierele. Prin urmare, prevenirea accesului neautorizat la director înseamnă eliminarea în avans a celor mai rele.

Există unele pluginuri dezvoltate de comunitatea WordPress pentru a proteja cu parolă directorul. Astfel, utilizatorii admin WordPress trebuie să folosească două parole diferite pentru a accesa tabloul de bord. Unul pentru pagina de conectare, iar altul pentru tabloul de bord. Astfel de pluginuri generează automat fișierul [.htpasswd], apoi criptează parola și configurează permisiunile pentru fișiere.

Adăugați utilizatori administratori cu suficientă grijă

În afară de super-administratorul care are toate privilegiile backend-ului, alți utilizatori au și acces la backend cu diferite niveluri de acces la caracteristicile și funcțiile backend. Accesul bazat pe roluri la backend este posibil și le puteți acorda diferite nume de utilizator, precum și parole pe care le considerați cele mai sigure.

Monitorizați fișierele importante din directorul de administrare

Puteți utiliza unele pluginuri pentru a monitoriza activitățile suspecte pentru toți utilizatorii administratori, pentru a lua măsuri în timp real ori de câte ori sunt detectate amenințări de securitate.

Criptați datele

Dacă ați implementat Security Socket Certificate (SSL) care utilizează cea mai recentă tehnologie de criptare pentru a vă proteja datele stocate și schimbate, puteți preveni ceva greșit între ele și puteți securiza toate zonele de administrare WP, precum și site-ul web.

Securizarea bazei de date a site-ului dvs. WordPress

Platforma WordPress se bazează foarte mult pe baza de date, deoarece toate activele site-ului web sunt stocate în baze de date în majoritatea formatelor tabelare în baze de date de tip SQL, fie că este vorba de texte, imagini, cod de aspect, conținut multimedia și orice lucru dintr-un site WordPress are un loc în baza de date.

Pentru a proteja bazele de date de injecțiile SQL și alte atacuri cibernetice, vă puteți proteja baza de date cu următoarele măsuri.

Setați parola pentru baza de date

Puteți seta o parolă puternică pentru baza de date și puteți restricționa accesul la baza de date până la rolul de super-administrator, astfel încât manipularea bazei de date sau posibilitățile de greșeli pot fi minimizate.

Schimbați prefixul WP

Dacă intenționați să instalați un site web WordPress, este posibil să întâlniți o setare pentru un tabel de bază de date și este prefixul tabelului WP. În mod implicit, este wp- și trebuie să îl schimbați pentru a preveni injecțiile SQL, cum ar fi atacurile la baze de date. Îl puteți schimba de la wp- la Your-Domain-Name ca un prefix personalizat.

Faceți o copie de rezervă regulată a bazei de date

Este posibil să aveți sau nu o copie de rezervă obișnuită a întregului site web, dar aranjarea copiei de rezervă a bazei de date vă poate salva de la pierderea datelor care are loc din diverse motive cunoscute și necunoscute. Astăzi avem pluginuri de backup cu privilegii speciale pentru a face backup la baza de date cu frecvență diferită .

Securizarea găzduirii site-ului dvs. WordPress

Astăzi, găzduirea unui site web este esențială pentru succesul său, deoarece motoarele de căutare necesită o găzduire ideală, prietenoasă cu SEO, pentru a îndeplini cerințele sale de clasare. În mod similar, utilizatorii de site-uri web, inclusiv utilizatorii backend și utilizatorii frontend, optimizarea performanței, optimizarea conversiilor și experiențele utilizatorilor depind în mare măsură de mediul de găzduire și de calitatea găzduirii în ansamblu.

Astăzi avem mai multe opțiuni de găzduire, altele decât serviciile de găzduire comunitară implicite WordPress, cum ar fi găzduire partajată, găzduire VPS, găzduire dedicată și, cel mai important, servicii de găzduire bazate pe cloud, cum ar fi Kinsta , pentru diferite dimensiuni și dimensiuni ale site-urilor web.

Securizat fișierul wp-config.php

Accesul la fișierul WordPress wp-config.php este o realizare critică pentru ca hackerii să-și împlinească cu ușurință intențiile rele, deoarece conține informații extrem de critice cu privire la întreaga instalație WordPress.

Cel mai bun mod este să mutați fișierul la un nivel mai înalt decât directorul rădăcină. Puteți face asta cu ușurință, deoarece WordPress îl poate vedea chiar dacă se află în afara directorului rădăcină al WordPress. Astfel, serverul îl poate găsi cu ușurință la un nivel superior.

Interziceți editarea fișierului

Într-un server de găzduire, sursa site-ului dvs. are mai multe fișiere cu informații critice și permisiuni pentru a vă rula site-ul fără probleme. Dacă hackerii sau elementele rău intenționate sparg serverul și accesează acele fișiere, ei pot face diferite intensități de rău.

Dacă interziceți editarea fișierelor pentru oricine, cu excepția super-administratorului, puteți salva cu ușurință din aceste pierderi. Puteți face asta prin simpla adăugare a unei linii de cod la sfârșitul fișierului wp-config.

Aveți grijă când setați permisiunile pentru director

Directoarele, subdirectoarele și fișierele de pe serverul dvs. de găzduire sunt aspecte importante de securitate WordPress. Dacă setați greșit permisiunile pentru aceste componente ale site-ului dvs. Puteți crește șansele de atac odată ce serverul compromite oricum.

Prin urmare, trebuie să setați permisiunea 755 pentru directoare/subdirectoare și permisiunea 644 pentru fișiere. Folosind instrumentele File Manager disponibile în hosting/c-Panel, puteți seta sau modifica cu ușurință permisiunile. Pentru mai multe informații despre permisiunile fișierelor – Înțelegerea permisiunilor de fișiere și utilizarea lor pentru a vă securiza site-ul .

Conexiune corectă la server

În mod tradițional, folosim protocolul FTP pentru conexiunea la server. Dar SFTP sau SSH este o modalitate mai sigură și mai fiabilă astăzi de a realiza conexiunea la server.

Securizarea temelor și pluginurilor site-ului dvs. WordPress

Majoritatea temelor și pluginurilor WordPress sunt dezvoltate de dezvoltatori terți. Acestea nu sunt complet de încredere din punct de vedere al securității. Prin urmare, trebuie să luați câteva măsuri pentru a le reda în siguranță. De exemplu:

Luați actualizări regulate

La fel ca site-ul dvs. WordPress, dezvoltatorii/companiile de pluginuri și teme emit actualizări pentru a ține pasul cu versiunile WordPress și pentru a remedia erorile și problemele pe care le cunosc din feedbackul utilizatorilor. Așadar, încercați să instalați actualizările lor în mod regulat prin tabloul de bord folosind un plugin adecvat.

Ascunde informațiile versiunii WordPress

Pentru atacatori, cunoașterea informațiilor despre versiunea WordPress, precum numărul, poate ajuta la dezvoltarea unui atac personalizat, iar informațiile despre versiune sunt ușor disponibile în sursa WordPress. Dacă puteți elimina acele informații despre versiune DIY sau cu ajutorul dezvoltatorului dvs. dedicat WordPress , puteți face viața atacatorilor puțin grea.

Concluzie

Am scris postarea de mai sus ținând cont de începătorii și dezvoltatorii WordPress de nivel mediu, precum și de dezvoltatorii de pluginuri WordPress dedicat. Prin urmare, implementarea sfaturilor descrise pentru a vă securiza site-ul WordPress s-ar dovedi dificilă fără a fi nevoie de ajutorul celor mai recente și adecvate pluginuri de securitate WordPress. Vă recomand următoarele pluginuri pentru a instala site-ul dvs. și pentru a-l face mai sigur ca niciodată:

• All In One WP Security & Firewall
• Protecție de conectare în forță brută
• Securitate antiglonț
• Google Authenticator
• iThemes Security, anterior Better WP Security
• Plugin WordPress Sucuri Security
• WordFence
• WP Antivirus Site Protection

Dacă mai aveți confuzie și doriți să aveți ajutorul unor mâini experți. Perception System oferă servicii de dezvoltare WordPress, precum și facilități pentru a angaja un dezvoltator WordPress pentru a ajuta clienții nevoiași să-și facă site-ul complet sigur și securizat.