Securitate WordPress – 24 de sfaturi pentru a vă proteja site-ul de hackeri

Securitatea WordPress ar trebui să fie prima prioritate atunci când gestionați un site web. Îți proiectezi site-ul web, publici conținut, vinzi produse online, dar dacă nu iei în serios securitatea WordPress, site-ul tău poate fi spart oricând.

În fiecare zi, 30.000 de site-uri web sunt sparte și peste 2.000 de site-uri sunt incluse pe lista neagră de Google. Nu ești o excepție. Dacă un site web guvernamental poate fi piratat, atunci de ce nu al tău?

Într-o dimineață, te-ai trezit și ai văzut că site-ul tău WordPress este inaccesibil și vezi mesaje aleatorii precum,

„ site-ul tău este piratat de xyz ” – site-ul este piratat

„ site-ul din față conține programe malware ” – pe lista neagră de Google

Acesta este cel mai rău lucru pe care l-ați putea confrunta vreodată cu site-ul dvs.

Dar, de ce WordPress?

WordPress alimentează peste 31% (80 de milioane) din totalul site-urilor web de pe web. Potrivit W3Techs, WordPress deține cu 60% din cota de piață CMS mai mult decât alte platforme, ceea ce este un motiv destul de solid pentru a atrage hackeri.

Dar nu intrați în panică. Întărirea securității WordPress este foarte ușoară și o poți face și tu.

În acest articol, voi împărtăși 24 de cele mai bune sfaturi de securitate WordPress pentru a vă proteja site-ul de hackeri și programe malware.

„De ce să nu faci poarta palatului tău să dispară înainte ca ei să o descopere?” – WPMyWeb

Probleme comune de securitate WordPress

Înainte de a ne aprofunda în cele mai bune practici de securitate WordPress, să înțelegem mai întâi câteva probleme comune de securitate WordPress.

Mulți utilizatori cred că WordPress nu este o platformă sigură de utilizat pentru o afacere, ceea ce nu este deloc adevărat. Acest lucru se datorează lipsei de cunoștințe despre securitatea WordPress, administrarea proastă a sistemului, utilizarea software-ului și pluginurilor WordPress învechite etc.

Mulți începători WordPress presupun că crearea unui site web este sfârșitul și nu necesită nicio întreținere a securității. Acesta este modul în care vă lăsați site-ul vulnerabil.

Odată ce hackerii găsesc vulnerabili în site-ul dvs., ei vă pot exploata cu ușurință.

Să verificăm câteva dintre problemele comune de securitate WordPress.

1. Atacurile de forță brută:

În atacul cu forță brută, un script automat este folosit pentru a genera diverse combinații de nume de utilizator și parole. Hacker folosește pagina de conectare a WordPress pentru a rula atacuri cu forță brută.

Dacă utilizați un nume de utilizator și o parolă simple, atunci ați putea fi următoarea victimă a acestui atac.

2. Cross Site Scripting (XSS):

Cross Site Scripting este un tip de atac în care atacatorii injectează cod/script rău intenționat pe un site web de încredere. Această metodă de hacking este total invizibilă pentru utilizatorii care navighează pe site.

Aceste scripturi rău intenționate se încarcă anonim și fură informații din browserul utilizatorilor. Chiar dacă un utilizator introduce orice date în orice formă, datele ar putea fi furate.

3. Injecții SQL:

WordPress folosește o bază de date MySQL pentru a stoca informații despre blog.

Injecția SQL are loc atunci când hackerii au acces la baza de date WordPress. Prin piratarea bazei de date WordPress, hackerii pot crea un nou cont de administrator cu acces deplin la site-ul dvs.

De asemenea, pot introduce date în baza de date MySQL și pot adăuga link-uri către site-uri web rău intenționate sau spam.

4. Ușile din spate:

După numele „Ușa din spate”, puteți înțelege ce înseamnă.

Backdoor este o metodă de hacking care permite hackerilor să intre pe un site web, ocolind procesul normal de autentificare și chiar rămânând nedetectați de proprietarul site-ului.

După piratarea unui site web, hackerii își lasă de obicei amprenta, astfel încât să poată accesa din nou site-ul web, chiar dacă hack-ul este eliminat.

5. Hack-uri farmaceutice:

Hack-urile WordPress Pharma este un fel de spam pe site-ul web care umple rezultatele motoarelor de căutare cu conținut de farmacie spam care este interzis pe web, cum ar fi Viagra, Nexium, Cialis etc.

Spre deosebire de alte hack-uri WordPress, rezultatele hack-urilor farmaceutice sunt vizibile doar pentru motoarele de căutare. Deci, nu puteți identifica hack-ul doar vizualizând site-ul dvs. web sau codul sursă.

Accesați Google și introduceți site:domain.com. Dacă rezultatele căutării arată conținutul site-ului dvs. web (nu conținutul farmaciei), atunci site-ul dvs. nu este afectat de hackurile farmaceutice.

Scopul acestui hack este de a exploata cele mai valoroase pagini ale tale, suprascriind eticheta de titlu cu link-uri dăunătoare. Ca să nu mai vorbim, dacă nu inspectați problema devreme, motoarele de căutare precum Google, Bing vă pot pune pe lista neagră site-ul dvs. pentru furnizarea de conținut rău intenționat.

6. Redirecționări rău intenționate:

Redirecționarea rău intenționată WordPress este un fel de hack în care vizitatorii site-ului dvs. sunt redirecționați automat către site-uri spam, cum ar fi jocuri de noroc, porno, site-uri de întâlniri. Acest hack are loc atunci când un cod rău intenționat este injectat în fișierul sau baza de date a site-ului dvs. web.

Dacă site-ul dvs. redirecționează vizitatorii către site-uri ilegale sau rău intenționate, este posibil ca site-ul dvs. să fie inclus pe lista neagră de către Google.

De ce este importantă securitatea WordPress?

Site-ul dvs. web reprezintă marca dvs., afacerea dvs. și, cel mai important, primul contact cu clienții dvs.

Probabil ți-a luat câțiva ani cu multe eforturi pentru a-ți susține afacerea și a-ți crește traficul. Publicul tău iubește articolele tale și are încredere în produsele tale, de aceea păstrează contactul cu tine.

Dacă site-ul tău WordPress nu este securizat, există multe moduri în care atât site-ul, cât și clienții tăi vor fi afectați. Hackerii pot fura informațiile personale ale utilizatorului, parolele, detaliile cardului de credit, informațiile despre tranzacții și pot distribui malware utilizatorilor tăi.

Dacă site-ul tău este spart, vei observa că traficul tău scade drastic. În plus, Google vă va pune pe lista neagră site-ul dvs.

Potrivit blogului Google, numărul site-urilor piratate crește cu aproximativ 20% în 2016 față de 2015.

Într-un studiu, Securi raportează că Google pune pe lista neagră peste 10.000 de site-uri web în fiecare zi.

Dacă sunteți serios în ceea ce privește afacerea dvs., trebuie să acordați o atenție sporită securității dvs. WordPress.

Cel mai bun ghid de securitate WordPress

1. Obțineți o găzduire WordPress bună
2. Păstrați versiunea WordPress actualizată
3. Nu folosiți nicio temă sau plugin anulat/crăpat
4. Utilizați parole puternice
5. Adăugați (2FA) autentificare cu doi factori
6. Schimbați adresa URL de conectare WordPress
7. Limitați încercările de conectare
8. Faceți o copie de rezervă a site-ului dvs. în mod regulat
9. Utilizați un plugin de securitate WordPress
10. Deconectați automat utilizatorii inactivi
11. Adăugați întrebări de securitate la pagina de conectare WordPress
12. Schimbați numele de utilizator implicit „admin”.
13. Atribuiți utilizatori la cel mai mic rol posibil
14. Monitorizați modificările fișierelor și activitățile utilizatorului
15. Instalați certificatul SSL
16. Ștergeți temele și pluginurile neutilizate
17. Dezactivați editarea fișierelor în tabloul de bord WordPress
18. Protejează cu parolă pagina de autentificare WordPress
19. Dezactivează navigarea în directoare
20. Eliminați numărul versiunii dvs. WordPress
21. Schimbați prefixul tabelului bazei de date WordPress
22. Folosiți numai teme și pluginuri WordPress de încredere
23. Dezactivați raportarea erorilor PHP
24. Adăugați anteturi HTTP Secure la WordPress

Gata? Să începem.

1. Obțineți o găzduire WordPress bună

Găzduirea WordPress joacă un rol major atunci când vine vorba de îmbunătățirea securității WordPress.

Plătești pentru serviciul de găzduire, iar site-ul tău web rămâne sub controlul lor. Așa că ar trebui să fii atent înainte de a alege o găzduire WordPress bună pentru site-ul tău.

Găzduirea partajată precum A2Hosting, Bluehost etc. sunt cea mai bună opțiune de găzduire pentru a rula un blog cu trafic redus. Dar în găzduirea partajată, va exista întotdeauna o șansă de contaminare între site-uri.

Contaminarea între site-uri are loc atunci când un hacker este capabil să acceseze serverul web printr-un site web vulnerabil și apoi să exploateze toate celelalte site-uri web de pe același server web.

Vă recomandăm să utilizați un furnizor de găzduire WordPress gestionat. Companiile de găzduire WordPress gestionate oferă opțiuni de securitate pe mai multe straturi pentru site-uri web. Platformele lor de găzduire sunt foarte securizate și oferă scanare zilnică de malware și previne orice atac extern. Dacă, oricum, găsesc malware pe serverul lor, își asumă responsabilitatea și îl elimină instantaneu.

De asemenea, oferă backup zilnic, certificat SSL gratuit, asistență expertă 24 de ore pe zi, 7 zile pe zi.

Vă recomandăm o companie de găzduire WordPress gestionată de WPEngine. Ele oferă mai multe straturi de securitate pentru a vă proteja site-ul WordPress. Cu planul lor, veți primi copii de rezervă zilnice, SSL gratuit, CDN global și asistență expertă 24 de ore pe zi, 7 zile pe zi.

Vizitați WPEngine . [Cod de reducere adăugat în acest link]

Inapoi sus

2. Păstrați versiunea WordPress actualizată

Menținerea site-ului dvs. WordPress actualizat este o practică bună de securitate pentru a vă consolida securitatea WordPress. Această actualizare include versiunea WordPress, pluginuri și teme.

Într-un studiu recent, Securi a analizat că 56% din totalul site-urilor web infectate cu WordPress erau încă neactualizate. Dacă ești unul dintre ei, ești în pericol.

În fiecare zi sunt descoperite noi vulnerabilități și nu există nicio modalitate de a le opri. Software-ul și pluginurile învechite pot conține vulnerabilități pe care hackerul le poate folosi pentru a exploata un site.

Cu fiecare actualizare, dezvoltatorii includ noi funcții, remediază găurile de securitate, remediază erori etc. La fel ca software-ul WordPress, trebuie să actualizați temele și pluginurile WordPress.

Lucrul bun este că WordPress lansează automat actualizările și notifică utilizatorii săi.

Actualizarea versiunii WordPress, a pluginurilor și a temelor este foarte ușoară și o puteți face prin tabloul de bord de administrare WordPress.

Cum să actualizez WordPress, pluginurile și temele?

Mai întâi conectați-vă la tabloul de bord WordPress și accesați Tabloul de bord> Actualizări . Acolo puteți vedea dacă există o nouă actualizare disponibilă.

Notă: Înainte de a actualiza versiunea WordPress, faceți o copie de rezervă completă a fișierelor și bazei de date. În cazul în care apare o eroare, vă puteți restaura cu ușurință site-ul la versiunea anterioară. Puteți face backup și restaura cu ușurință site-ul dvs. folosind BlogVault cu doar un clic.

Din pagină, puteți vedea „Este disponibilă o versiune actualizată a WordPress” . Faceți clic pe butonul Actualizați acum pentru a vă actualiza versiunea WordPress, acest proces poate dura câteva secunde.

Odată ce actualizarea este finalizată, derulați în jos pentru a vă actualiza pluginurile WordPress. Vă recomandăm să actualizați pluginurile unul câte unul. Mai întâi, selectați un plugin și faceți clic pe Actualizare pluginuri .

În mod similar, actualizați temele de mai jos.

Cu toate acestea, procesul de actualizare este puțin complicat pentru unii utilizatori, în special pentru cei care nu sunt cunoscători de tehnologie.

Unii furnizori de găzduire WordPress gestionați precum SiteGround, Kinsta, FlyWheel oferă o funcție de actualizare automată. Deci, dacă aveți un program încărcat sau leneș să actualizați, acest lucru ar putea fi util.

Citiți, de asemenea, Cum să actualizați manual versiunea WordPress, pluginuri și teme

Inapoi sus

3. Nu utilizați niciodată teme și pluginuri anulate/crăpate

Nu este de mirare că pluginurile și temele premium includ mai multe funcționalități și arată profesional. Dar niciunul dintre produsele premium nu este gratuit. Vine cu un preț și după achiziționarea oricăror produse premium, utilizatorii trebuie să introducă cheia de produs pentru a activa produsul.

Dar, există multe site-uri web rău intenționate disponibile care oferă teme și pluginuri premium gratuit. Acele teme și pluginuri crăpate nu necesită o cheie de serie pentru a se activa și nu sunt niciodată actualizate.

Iată ce vreau să spun:

Aceste teme și pluginuri anulate sunt foarte periculoase pentru site-ul dvs. Hackerii injectează în mod special coduri rău intenționate în el și creează o ușă în spate a site-ului tău. Astfel, ei vă pot accesa cu ușurință site-ul web și vă pot sparge site-ul, inclusiv baza de date.

Deci, nu utilizați niciodată teme și pluginuri WordPress anulate sau crăpate.

Vă recomandăm să descărcați teme sau pluginuri gratuite numai de pe WordPress.org.

Înțelegem că tema sau pluginul gratuit au funcții foarte limitate. Dar acele teme sau pluginuri gratuite sunt sigure de utilizat și sunt actualizate în mod regulat.

Citește și, 7 cele mai bune teme de bloguri premium pentru WordPress

Inapoi sus

4. Folosiți parole puternice

O parolă este o cheie primară pentru a accesa site-ul dvs. WordPress. Dacă este simplu și scurt, atunci hackerii vă pot sparge cu ușurință parola. Peste 80% dintre încălcările legate de hacking se întâmplă din cauza unei parole slabe sau a parolei furate.

Într-un studiu recent, SplashData a dezvăluit 100 de cele mai proaste parole din 2017.

Iată câteva dintre ele:

1. 123456
2. parola
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. lasa-ma inauntru
8. 1234567
9. fotbal
10. te iubesc
11. admin
12. Bine ati venit
13. maimuță (lol)

Dacă parola dvs. este simplă ca mai sus, atunci schimbați-o imediat. O parolă bună trebuie să aibă cel puțin 10 cifre și să conțină litere mari, minuscule, număr și caractere speciale.

Puteți utiliza un instrument de generare a parolelor online pentru a crea instantaneu mii de parole securizate.

De asemenea, este necesar să salvați parola pe computer.

Pentru a fi mai ușor, puteți utiliza software-ul de gestionare a parolelor pentru a vă gestiona toate parolele, cum ar fi LastPass, Dashlane etc.

Implementați parola puternică pentru utilizatori

În mod implicit, WordPress nu vine cu o funcție care împiedică utilizatorii să introducă parole slabe. De cele mai multe ori utilizatorii setează o parolă slabă pentru contul lor și cu greu o schimbă.

Dacă rulați un blog WordPress cu mai mulți utilizatori, atunci ar trebui să forțați utilizatorii să folosească o parolă puternică.

Pentru a ușura acest proces, puteți utiliza un plugin. Instalați și activați pluginul Force Strong Passwords și ați terminat. Acest lucru va împiedica utilizatorii și chiar administratorul să introducă o parolă slabă.

Inapoi sus

5. Adăugați autentificarea cu doi factori (2FA)

O altă metodă simplă de a vă întări securitatea WordPress este prin adăugarea de autentificare cu doi factori (2FA) la pagina de autentificare WordPress. Practic, autentificarea în doi factori sau verificarea în doi pași este un proces de securitate care necesită două metode pentru a vă verifica identitatea.

În mod implicit, introducem de obicei numele de utilizator și parola pentru a vă conecta la un site web. Prin adăugarea autentificării cu doi factori, veți necesita un proces suplimentar de verificare, cum ar fi o aplicație pentru smartphone, pentru a aproba procesul de autentificare.

Deci, dacă cineva vă cunoaște numele de utilizator și parola, are nevoie de smartphone-ul dvs. pentru a obține codul de verificare pentru a vă conecta la site.

Adăugând autentificare cu doi factori, nu numai că vă securizați pagina de autentificare WordPress, ci și preveniți atacurile de forță brută.

Puteți activa cu ușurință autentificarea cu doi factori utilizând pluginul WordPress pentru autentificarea cu doi factori Google.

Odată activat, accesați Utilizatori> Profil utilizator și activați pluginul.

Apoi descărcați aplicația Google Authenticator de pe telefon și scanați codul de bare sau introduceți codul secret (vezi captura de ecran de mai sus) de pe site-ul dvs. pentru a vă adăuga site-ul.

Odată adăugat, deconectați-vă de pe site-ul dvs. Pe pagina de conectare, veți vedea un câmp suplimentar în care trebuie să introduceți codul de verificare din aplicația mobilă Google Authenticator.

Pentru instrucțiuni detaliate, consultați ghidul despre cum să adăugați autentificarea cu doi factori Google pe pagina de conectare WordPress.

Inapoi sus

6. Schimbați adresa URL a paginii de conectare WordPress

În mod implicit, oricine vă poate accesa pagina de autentificare adăugând pur și simplu „wp-admin” sau „wp-login.php” la sfârșitul numelui domeniului dvs., cum ar fi: „domain.com/wp-admin” sau „domain.com/ wp-login.php” .

Ghici ce! Hackerii pot rula atacuri cu forță brută folosind pagina de autentificare. Dacă utilizați o parolă foarte simplă, atunci hackerii vă pot sparge cu ușurință parola și vă pot intra pe site.

Dar dacă nu știu unde să atace? Da, ai ghicit bine.

Dacă ascundeți sau redenumiți adresa URL a paginii dvs. de conectare, hackerii nu ar putea să execute un atac cu forță brută.

În WordPress, puteți ascunde sau redenumi cu ușurință pagina de autentificare folosind un plugin. Din galeria de pluginuri WordPress, instalați și activați pluginul WPS Hide Login.

Odată activat, accesați Setări> General și în partea de jos, puteți găsi opțiunea WP Hide Login .

Pur și simplu schimbați adresa URL de conectare „conectare” cu altceva greu de ghicit și faceți clic pe Salvare modificări .

După ce ați terminat, marcați noua pagină de autentificare și ați terminat.

Inapoi sus

7. Limitați încercările de conectare

În mod implicit, WordPress nu limitează numărul de încercări de conectare prin intermediul formularului de conectare. Aceasta înseamnă că oricine știe că adresa URL de conectare poate încerca funcția de conectare de câte ori dorește. În acest fel, hackerii execută un atac de forță brută pentru a vă sparge „numele de utilizator” și „parola” pentru a vă accesa site-ul web.

Limitând încercările de autentificare, puteți întări securitatea WordPress și vă puteți proteja pagina de conectare de atacurile cu forță brută.

Puteți seta un număr maxim de încercări incorecte de conectare pe care un utilizator le poate face de la aceeași adresă IP. Dacă utilizatorul depășește limitele, IP-ul utilizatorului va fi blocat pentru o anumită perioadă de timp.

Pentru a limita încercările de conectare în WordPress, instalați pluginul Login LockDown. Odată activat, accesați Setări> Blocare autentificare pentru a configura pluginul.

Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să limitați încercările de conectare în WordPress

Inapoi sus

8. Faceți o copie de rezervă a site-ului dvs. în mod regulat

Backup-urile sunt ca Time Machine. Dacă îl aveți, site-ul dvs. este în siguranță.

Cu toate acestea, backup-urile site-ului web nu vă protejează site-ul de hackeri, dar vă ajută să vă recuperați site-ul.

De exemplu, dacă ceva nu merge bine cu site-ul dvs. în timpul actualizării sau site-ul dvs. este piratat, cum vă veți repara din nou site-ul? Probabil că îți pierzi site-ul.

Dar dacă aveți copii de siguranță ale site-ului dvs., vă puteți restaura cu ușurință site-ul înainte de punctul în care a fost spart sau prăbușit.

De aceea, vă recomandăm să utilizați un plugin de backup WordPress de încredere. Cu toate acestea, multe companii de găzduire oferă backup gratuit pentru site-ul web, dar pot garanta disponibilitatea site-ului dvs. dacă există o eșec catastrofal. Deci, trebuie să salvați copiile de siguranță într-o locație la distanță, cum ar fi Google Drive, Amazon S3, Dropbox etc.

Din fericire, acest lucru se poate face folosind BlogVault sau BackUpBuddy WordPress Backup Plugin. Ambele oferă backup zilnic și restaurare cu un singur clic. De asemenea, puteți crea un site de organizare fără costuri suplimentare.

Inapoi sus

9. Utilizați WordPress Security Plugin

Următorul lucru de care aveți nevoie pentru a vă consolida securitatea WordPress este un plugin de securitate. Există multe pluginuri de securitate WordPress disponibile care vă vor bloca site-ul de hackeri și programe malware.

Pluginurile de securitate WordPress vor detecta și elimina malware-ul dacă este prezent pe site-ul dvs. În plus, ei monitorizează activitatea utilizatorilor în timp real, vă anunță dacă s-a schimbat ceva, dacă un plugin conține un malware, blochează traficul de spam și multe altele.

Vă recomandăm Securi WordPress Security Plugin. Securi Security oferă un alt tip de caracteristici de securitate, cum ar fi auditarea activității de securitate, monitorizarea site-ului web, firewall-ul site-ului și multe altele.

Cel mai bun lucru despre Securi este că, dacă site-ul tău este piratat sau inclus pe lista neagră de Google în timp ce folosește serviciul său, ei garantează că îți vor repara site-ul.

Majoritatea experților în securitate WordPress percepe mai mult de 300 USD pentru a repara un site piratat, în timp ce veți obține toate serviciile de securitate la doar 199 USD pe an. Este o investiție bună pentru a vă consolida securitatea WordPress.

Inapoi sus

10. Deconectați automat utilizatorii inactivi

Dacă un utilizator rămâne inactiv sau inactiv pe site-ul dvs. prea mult timp, acest lucru poate provoca atacuri cu forță brută.

Când un utilizator rămâne inactiv prea mult timp, hackerii pot folosi cookie-uri sau metoda de deturnare a sesiunii pentru a obține acces neautorizat la site-ul dvs. De aceea, majoritatea site-urilor web legate de educație și financiare, cum ar fi site-urile bancare și ale gateway-urilor de plată, folosesc funcția de expirare a sesiunii de utilizator. Deci, atunci când un utilizator navighează departe de pagină și nu interacționează după o perioadă de timp, site-ul web deconectează automat utilizatorul inactiv.

Aceeași funcție pe care o puteți adăuga la site-ul dvs. WordPress pentru a vă îmbunătăți securitatea WordPress. Adăugarea automată a utilizatorilor inactivi pe WordPress este extrem de simplă. Tot ce ai nevoie pentru a instala un plugin.

Mai întâi, descărcați și instalați pluginul WordPress Inactive Logout. Apoi activează-l și mergi la Setări> Deconectare inactivă pentru a configura pluginul.

Din setări, puteți modifica timpul de inactivitate. Deci, după acest timp, toți utilizatorii de pe site-ul dvs. vor fi deconectați automat.

De asemenea, puteți modifica mesajul de expirare inactiv și, dacă este necesar, să modificați alte setări.

După ce ați terminat, faceți clic pe Salvare modificări pentru a stoca setările.

Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să vă deconectați automat utilizatorii inactivi în WordPress

Inapoi sus

11. Adăugați întrebări de securitate la pagina de conectare WordPress

Adăugând întrebări de securitate la pagina de autentificare WordPress, nu numai că veți proteja pagina de autentificare WordPress, ci și întăriți securitatea WordPress.

Întrebarea de securitate adaugă un strat suplimentar de securitate pentru a vă autentifica în continuare identitatea în timpul conectării. Acest lucru este foarte util dacă rulați un blog WordPress cu mai mulți autori.

Dacă oricare dintre parola utilizatorului dvs. sau a fost furată, atunci întrebarea de securitate poate salva viața.

Deoarece numele de utilizator și parola pot fi sparte cu ușurință, dar alegerea întrebării și a răspunsului de securitate potrivite este aproape imposibilă. În acest fel, vă puteți salva pagina de autentificare WordPress de hackeri și atacuri de forță brută.

Pentru a adăuga o întrebare de securitate pe pagina de conectare WordPress, instalați pluginul WP Security Question.

Odată activat, accesați WP Security Questions > Plugin Settings pentru a configura pluginul.

În mod implicit, pluginul are multe întrebări comune adăugate. Dar, puteți adăuga sau elimina orice întrebări de securitate din listă.

În partea de jos, puteți activa întrebarea de securitate pe pagina de conectare, înregistrare și pagina de parolă uitată. După configurarea pluginului, nu uitați să faceți clic pe Salvare setare .

Notă: Numai utilizatorii noi își pot seta întrebarea și răspunsul de securitate în timpul înregistrării. Prin urmare, utilizatorii înregistrați trebuie să își seteze manual propria întrebare de securitate și răspuns. Puteți, de asemenea, să setați o întrebare de securitate și să răspundeți pentru ei. Acest lucru se poate face din pagina Profil utilizator .

Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să adăugați întrebări de securitate la pagina de conectare WordPress

Inapoi sus

12. Schimbați numele de utilizator „Admin” implicit

După instalarea WordPress, îți poți schimba parola de câte ori vrei. Dar îți poți schimba numele de utilizator odată ce este setat? Fara drept?

În mod implicit, WordPress nu permite utilizatorilor să schimbe numele de utilizator. Dar de ce ar trebui să-l schimbi?

Dacă utilizați un nume de utilizator foarte obișnuit, cum ar fi „admin”, atunci hackerii pot rula atașarea în forță brută cu ajutorul numelui dvs. de utilizator.

Dar nu intrați în panică. Există mai multe moduri prin care vă puteți schimba WordPress cu ușurință.

Cu toate acestea, pentru a ușura procesul, vom folosi un plugin. Mai întâi, descărcați și instalați pluginul pentru schimbarea numelui de utilizator. Apoi accesați Utilizatori> Profilul dvs. și găsiți opțiunea de nume de utilizator. Acolo veți găsi opțiunea „ Schimbați numele de utilizator ”.

Faceți clic pe butonul Schimbați numele de utilizator și introduceți noul nume de utilizator. După ce ați terminat, faceți clic pe Actualizare profil .

Dacă doriți să vă schimbați numele de utilizator manual (fără plugin), consultați articolul 3 moduri diferite de a schimba numele de utilizator WordPress.

Inapoi sus

13. Atribuiți utilizatorilor cel mai mic rol posibil

Dacă rulați un site WordPress cu mai mulți autori, atunci trebuie să fiți atenți înainte de a atribui un rol unui utilizator.

De multe ori proprietarii de site-uri WordPress atribuie un rol de utilizator mai mare noilor utilizatori, astfel le oferiți toate privilegiile utilizatorilor și, ca rezultat, orice utilizator poate îndeplini orice sarcină orice dorește.

De exemplu, dacă nu știți ce rol poate îndeplini un utilizator Editor și atribuiți rolul unui utilizator obișnuit, atunci utilizatorul vă poate șterge toate postările, edita linkurile, poate crea postări spam, adăuga linkuri rău intenționate în blogul dvs. postări. Acesta este modul în care un utilizator vă poate distruge cu ușurință site-ul.

În mod implicit, WordPress vine cu 5 roluri diferite de utilizator.

• Administrator
• Editor
• Autor
• Colaborator
• Abonat

1. Administrator: Administratorii sunt cel mai puternic rol de utilizator dintr-un site WordPress. Ei pot crea, edita și șterge un cont de utilizator, pot efectua orice sarcină în panoul de administrare WordPress, pot avea control asupra întregii zone de conținut și, de asemenea, pot modera comentariile.
2. Editor: utilizatorii cu rolul Editor au controlul deplin asupra întregului conținut. Ei pot crea, edita și șterge orice postare, inclusiv postările create de alți utilizatori. De asemenea, pot modera comentariile și pot modifica link-urile.
3. Autor: autorii pot publica, edita sau șterge numai propriile postări. Ei pot încărca fișiere media pentru a le utiliza în postările lor. Ei pot vizualiza comentariile, dar nu pot aproba sau șterge niciun comentariu.
4. Colaborator: utilizatorii cu rolul de Colaborator pot scrie, edita sau șterge doar propria postare nepublicată, dar nu își pot publica propria postare.
5. Abonat: abonații își pot edita doar informațiile contului, inclusiv parola, dar nu au acces la conținut sau la setările site-ului. Au cele mai scăzute capacități într-un site WordPress.

Înțelegând rolurile utilizatorilor WordPress, le puteți gestiona cu ușurință, fără niciun risc.

De asemenea, vă recomandăm să setați Rol implicit utilizator nou ca Abonat. Accesați Setări> Setări generale și din setul lor Rol implicit utilizator nou - Abonat și faceți clic pe Salvare modificări .

Pentru mai multe detalii, citiți Ghidul pentru începători pentru rolurile și capabilitățile utilizatorilor WordPress

Inapoi sus

14. Monitorizați modificările fișierelor și activitățile utilizatorului

O altă modalitate inteligentă de a întări securitatea WordPress este prin monitorizarea activităților utilizatorilor și a modificărilor fișierelor.

Dacă rulați un site WordPress cu mai mulți utilizatori, atunci ar trebui să urmăriți comportamentul utilizatorilor pentru a înțelege mai bine care sunt activitățile acestora pe site-ul dvs. WordPress.

Cine știe dacă un utilizator face ceva suspect sau încearcă să-ți spargă site-ul? Cum poți ști asta?

Singura modalitate de a urmări activitățile utilizatorilor și modificările fișierelor este prin utilizarea unui plugin WordPress pentru activitatea utilizatorului. Folosind un plugin pentru activitatea utilizatorului în WordPress, puteți:

• vezi cine este autentificat și ce fac în timp real
• când un utilizator se autentifică și se deconectează
• de câte ori a încercat un utilizator să se autentifice, dar nu a reușit

În plus, dacă un editor a făcut modificări la o postare sau o pagină fără permisiunea dvs., atunci o puteți afla cu ușurință și o puteți reveni înapoi. Lucrul bun despre un plugin pentru activitatea utilizatorului este că vă trimite instantaneu o notificare prin e-mail dacă ceva nu merge bine.

WP Security Audit Log este cel mai bun plugin pentru a monitoriza activitățile utilizatorilor și modificările fișierelor în timp real. Iată mai jos o captură de ecran cum funcționează pluginul.

Citiți, de asemenea, 5 cele mai bune pluginuri pentru a monitoriza activitatea utilizatorilor în WordPress (pluginuri alternative)

Inapoi sus

15. Implementați SSL și HTTPS

Securitatea WordPress nu poate fi îmbunătățită fără un certificat SSL. Un SSL (Secure Socket Layer) este coloana vertebrală a securității site-ului.

SSL este o tehnologie de securitate standard care creează legături criptate între un server și un browser web într-o comunicare online, cum ar fi o tranzacție online. Deci, toate datele sensibile, cum ar fi parolele, detaliile cărții de credit etc. trec prin link-uri criptate.

Dacă conduceți o afacere online sau un blog în care acceptați plata, atunci un certificat SSL este obligatoriu. Acesta va păstra datele clienților dvs. în siguranță de hackeri. Pentru magazinele online sau site-urile WooCommerce, costurile certificatelor SSL costă în jur de 20-170 USD.

În cazul în care rulați un blog WordPress, atunci nu aveți nevoie de un certificat SSL plătit. Dacă utilizați găzduire cPanel precum SiteGround, WPEngine, atunci puteți instala gratuit certificatul SSL cu un singur clic.

Mai întâi, conectați-vă la contul dvs. cPanel de găzduire și navigați la Securitate . (Iată mai jos o captură de ecran de la SiteGround care găzduiește cPanel.)

Accesați Managerul SSL/TLS și faceți clic pe Instalare certificat SSL . Din pagină, selectați domeniul dvs. și faceți clic pe Completare automată după domeniu . Procesul este automat, așa că nu trebuie să editați sau să modificați nimic.

Acum faceți clic pe butonul Instalați certificat pentru a finaliza procesul de configurare.

După ce ați terminat, conectați-vă la tabloul de bord WordPress pentru a modifica adresa URL a site-ului. Accesați Setări> General și adăugați înlocuiți HTTP cu HTTPS înainte de adresa URL a site-ului dvs. Iată o captură de ecran mai jos.

Odată actualizat, faceți clic pe Salvare modificări .

Cum să redirecționați HTTP la HTTPS în WordPress

Dacă ați instalat corect certificatul SSL, atunci site-ul dvs. este accesibil cu HTTPS.

Dar dacă cineva scrie doar numele site-ului tău web (adică domain.com) în bara de adrese a browserului, atunci site-ul poate afișa mesajul „ Conexiunea nu este sigură ”. Aceasta înseamnă că site-ul dvs. este accesibil prin HTTP.

Pentru a remedia problema, trebuie să forțați HTTPS în WordPress, astfel încât site-ul dvs. se va încărca numai cu HTTPS. Puteți forța cu ușurință HTTPS în WordPress.

Mai întâi conectați-vă la cPanel-ul dvs. de găzduire și accesați folderul rădăcină al site-ului dvs. și găsiți fișierul .htaccess . Editați fișierul .htaccess și la final adăugați următorul cod.

RewriteEngine Pornit
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Salvați fișierul și ați terminat. Acum site-ul dvs. este accesibil numai cu HTTPS.

Dacă furnizorul dvs. de găzduire web nu oferă un certificat SSL gratuit, atunci puteți instala manual un certificat SSL. Iată ghidul despre cum să instalați certificatul SSL gratuit.

Inapoi sus

16. Ștergeți temele și pluginurile neutilizate

Când vine vorba de întărirea securității WordPress, nu ar trebui să ignorăm niciun pas mic care poate face site-ul dvs. vulnerabil.

De cele mai multe ori, proprietarii de site-uri WordPress instalează diferite teme și pluginuri pentru a testa ce temă arată mai bine pe site-ul lor sau care plugin are mai multe funcționalități. Asta e ok. Dar păstrarea acestor teme și pluginuri neutilizate face site-ul dvs. vulnerabil.

Deoarece păstrarea multor teme și pluginuri WordPress necesită actualizare regulată, precum cea pe care o utilizați. Dacă nu le actualizați, acestea au devenit vulnerabile, iar hackerii vă pot exploata cu ușurință site-ul prin temele și pluginurile vulnerabile. În plus, păstrarea atât de multe teme și plugin face site-ul WordPress mai lent.

Prin urmare, ar trebui să ștergeți întotdeauna temele neutilizate și pluginul pentru a îmbunătăți performanța site-ului și securitatea WordPress.

Pentru a șterge un plugin neutilizat, accesați Plugins> Plugin-uri instalate . Apoi găsiți pluginul de care nu mai aveți nevoie. Mai întâi, dezactivați pluginul și faceți clic pe Ștergere .

În mod similar, pentru a șterge o temă, accesați Aspect> Teme și faceți clic pe Detalii teme . Apoi, în partea de jos din partea dreaptă, faceți clic pe Ștergere .

Inapoi sus

17. Dezactivați editarea fișierelor în tabloul de bord WordPress

În mod implicit, WordPress permite utilizatorilor să editeze tema și fișierul plugin direct din tabloul de bord WordPress. Aceasta este o opțiune utilă pentru utilizatorii care au nevoie frecvent să editeze tema și fișierul plugin.

Cu toate acestea, menținerea acestei funcții activată poate fi o problemă serioasă de securitate. Dacă hackerii accesează site-ul dvs., de obicei își lasă amprenta prin injectarea de cod rău intenționat în fișierele site-ului. Dacă funcția dvs. de editare a fișierelor WordPress este activată, atunci hackerii pot injecta cu ușurință cod rău intenționat în tema sau fișierul plugin care vă va fi necunoscut.

Pentru a îmbunătăți securitatea WordPress, trebuie să dezactivați funcția de editare a fișierelor din tabloul de bord WordPress. Dezactivarea temei WordPress și a editorului de pluginuri în WordPress este un proces foarte ușor.

În primul rând, trebuie să vă conectați la contul dvs. cPanel de găzduire și să mergeți la folderul rădăcină al site-ului dvs. WordPress. De acolo, găsiți wp-config.php. Faceți clic pe editați și adăugați următorul cod la sfârșit.

define('DISALLOW_FILE_EDIT', true);

Acum salvați fișierul și reîmprospătați tabloul de bord WordPress. Veți vedea că opțiunea editorului de teme și plugin a dispărut. Cu acest mic truc, puteți îmbunătăți cu ușurință securitatea WordPress.

Citiți ghidul detaliat despre cum să dezactivați editorul de teme și plugin în WordPress

Inapoi sus

18. Pagina de conectare WordPress Protejați cu parolă

O altă modalitate excelentă de a îmbunătăți securitatea WordPress este protejarea cu parolă a paginii de autentificare WordPress.

Protejând cu parolă pagina dvs. de conectare WordPress(/wp-login.php) sau admin(/wp-admin), puteți împiedica hackerii să vă acceseze pagina de autentificare deoarece necesită o parolă pentru a accesa pagina de conectare. Odată activată această funcție, site-ul dvs. va solicita tuturor utilizatorilor care accesează pagina de autentificare cu un nume de utilizator și o fereastră de parolă. Pe scurt, toți utilizatorii trebuie să se autentifice de două ori cu nume de utilizator și parolă diferite înainte de a accesa tabloul de bord WordPress.

Procedând astfel, vă puteți consolida securitatea WordPress și puteți adăuga un nivel suplimentar de securitate paginii dvs. de conectare.

Citiți ghidul nostru detaliat despre cum să protejați cu parolă pagina de autentificare WordPress.

Inapoi sus

19. Dezactivați navigarea în director în WordPress

În mod implicit, majoritatea serverelor web precum Apache, NGINX și LiteSpeed ​​permit oricărui utilizator să răsfoiască directoarele care conțin fișiere și foldere WordPress. De asemenea, ei pot vedea ce temă și plugin-uri utilizați și pot afla mai multe despre structura site-ului dvs.

Aceste informații pot duce site-ul dvs. WordPress vulnerabil și pot ajuta un hacker atunci când încearcă să vă compromită site-ul.

Pentru a spori securitatea WordPress, vă recomandăm să dezactivați această opțiune. Pentru a dezactiva navigarea în directoare în WordPress, pur și simplu adăugați următoarea linie în fișierul dvs. .htacces .

Opțiuni Toate -Indici

Pentru instrucțiuni detaliate, citiți ghidul nostru despre cum să dezactivați navigarea în directoare în WordPress

Inapoi sus

20. Eliminați versiunea dvs. WordPress

În mod implicit, WordPress adaugă automat metaetichete în diferite locații care afișează versiunea WordPress pe care o utilizați.

Iată chestia: dacă hackerii știu că rulați o versiune de WordPress învechită, ei vă pot exploata site-ul prin vulnerabilitățile cunoscute care sunt prezente în versiunea mai veche de WordPress.

Deci, este mai bine să eliminați versiunea WordPress pentru a îmbunătăți securitatea WordPress. Există mai multe locuri în care WordPress adaugă metaetichetele, cum ar fi, în tabloul de bord WordPress, în antet, în stil și javascript și în fluxul RSS.

Eliminarea versiunii WordPress din antet și RSS

Pentru a elimina versiunea din antet și RSS, adăugați următoarea linie la sfârșitul fișierului functions.php .

funcția remove_wordpress_version() {
întoarcere '';
}
add_filter('the_generator', 'remove_wordpress_version');

Eliminarea numărului versiunii WordPress din Scripturi și CSS

Pentru a elimina versiunea WordPress din CSS și scripturi, adăugați următoarea linie la sfârșitul fișierului functions.php .

// Alegeți numărul versiunii din scripturi și stiluri
funcția remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo('versiune' ) ) )
$src = remove_query_arg( 'ver', $src );
returnează $src;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

Odată terminat, salvați fișierul functions.php .

Asta e. Cu acest truc simplu, vă puteți îmbunătăți cu siguranță securitatea WordPress. Cu toate acestea, vă recomandăm întotdeauna să vă actualizați în mod regulat versiunea WordPress, precum și tema și pluginurile.

Pentru instrucțiuni detaliate, citiți ghidul nostru despre cum să ascundeți sau să eliminați versiunea WordPress

Inapoi sus

21. Schimbați prefixul tabelului bazei de date WordPress

În timpul instalării WordPress, acesta vă întreabă dacă doriți să utilizați un prefix diferit al bazei de date. De obicei, sărim peste acest pas, așa că WordPress folosește automat (WP_) ca prefix implicit pentru tabelul bazei de date. Vă recomandăm să-i schimbați ceva puternic și unic.

Utilizarea prefixului implicit (WP_) face ca baza de date WordPress să fie susceptibilă la atacuri cu injecție SQL. Astfel de atacuri pot fi prevenite prin schimbarea prefixului bazei de date (WP_) cu ceva unic.

După instalarea WordPress, puteți schimba cu ușurință prefixul implicit al tabelului bazei de date folosind plugin-uri sau manual. Plugin-uri precum BackupBuddy, Brozzme DB Prefix vă permit să schimbați prefixul tabelului cu doar un clic.

De dragul tutorialului, vă arăt cum să îl schimbați folosind pluginul Brozzme DB Prefix.

Notă: înainte de a face ceva cu baza de date, asigurați-vă că faceți o copie de rezervă a site-ului și a bazei de date. În cazul în care ceva nu merge bine, vă puteți restaura site-ul.

Mai întâi, instalați și activați pluginul Brozzme DB Prefix. Din tabloul de bord WordPress, accesați Instrumente> Prefix DB și introduceți un nou nume unic pentru prefixul bazei de date.

După ce ați introdus noul prefix, faceți clic pe Modificare prefix DB .

Pentru procesul manual, citiți despre cum să schimbați prefixul tabelului bazei de date folosind phpMyAdmin

Inapoi sus

22. Folosiți numai pluginuri WordPress de încredere

WordPress vine cu peste 48.000 de plugin-uri. Asta nu înseamnă că toate pluginurile sunt utile și sigure de utilizat.

Pentru că există multe plugin-uri disponibile în galeria de pluginuri WordPress care nu sunt actualizate de mult timp și, de obicei, au devenit vulnerabile. În plus, nu veți primi nici un fel de asistență dacă pluginul vă sparge site-ul.

Înainte de a utiliza orice plugin gratuit, două lucruri importante pe care trebuie să le verificați,

• Verificați când a fost actualizat ultima dată pluginul: dacă pluginul nu este actualizat frecvent sau nu mai este întreținut de dezvoltatorul pluginului, atunci ar trebui să evitați pluginul.

• Verificați dacă pluginul are evaluări pozitive maxime: Următorul lucru de care trebuie să verificați dacă pluginul are evaluări pozitive sau negative maxime. Dacă pluginul are evaluări negative maxime, nu ar trebui să-l utilizați.

De asemenea, puteți verifica pagina Recenzii și asistență a pluginului pentru a vedea ce spun alți utilizatori despre plugin.

Dar, nu-ți face griji. Există multe pluginuri similare disponibile pe care le puteți găsi din galeria de pluginuri WordPress.

Dacă doriți să utilizați un plugin premium, atunci nu trebuie să vă faceți griji. Pluginurile premium sunt actualizate în mod regulat și veți primi asistență de 24 de ori de la dezvoltatorul de pluginuri.

Inapoi sus

23. Dezactivați raportarea erorilor PHP

O altă modalitate excelentă de a întări securitatea WordPress este dezactivarea raportului de eroare PHP în WordPress. De multe ori, atunci când instalați un plugin sau o temă învechită, este posibil să vedeți avertismentul de eroare PHP.

Cu toate acestea, poate duce site-ul dvs. vulnerabil dacă hackerii îl obțin, deoarece arată codul și locația fișierului. Pentru a minimiza riscul, puteți dezactiva raportarea erorilor PHP în WordPress.

Dezactivarea avertismentului de eroare PHP în WordPress este foarte ușoară. Mai întâi, editați fișierul wp-config.php și găsiți acea linie care are acest cod:

define('WP_DEBUG', false);

Este posibil să vedeți „adevărat” în loc de „fals”. Acum înlocuiți linia cu următorul cod.

ini_set('display_errors','Off');
ini_set('raportare_eroare', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

Salvați fișierul și ați terminat.

De asemenea, vă recomandăm să utilizați pluginuri actualizate și bine evaluate pentru a evita acest tip de problemă.

Inapoi sus

24. Adăugați anteturi HTTP Secure la WordPress

O altă modalitate excelentă de a întări securitatea WordPress este să adăugați anteturi HTTP securizate pe site-ul dvs. WordPress.

Când cineva accesează site-ul dvs. web, browserul face o solicitare către serverul dvs. web. Apoi serverul web răspunde cu solicitările împreună cu antetele HTTP. Aceste anteturi HTTP transmit informații precum codificarea conținutului, controlul cache-ului, tipul conținutului, conexiunea etc.

Adăugând anteturi de răspuns HTTP securizate, vă puteți îmbunătăți securitatea WordPress și, de asemenea, puteți preveni atenuarea atacurilor și a vulnerabilităților de securitate.

Iată anteturile HTTP de mai jos:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) impune browserului web să utilizeze numai conexiuni securizate (HTTPS) atunci când comunică cu un site web. Acest lucru previne hackurile protocolului SSL, deturnarea cookie-urilor, eliminarea SSL etc.
• X-Frame-Options : X-Frame-Options este un fel de antet HTTP care specifică dacă un browser are sau nu permisiunea de a reda un site web într-un cadru. Acest lucru previne atacurile de tip clickjacking și se asigură că site-ul dvs. web nu este încorporat în alte site-uri web folosind <frame>.
• X-XSS-Protection : X-XSS-Protection este o caracteristică încorporată a browserelor Internet Explorer, Google Chrome, Firefox și Safari, care blochează încărcarea paginilor dacă a fost inserat un script rău intenționat de la o intrare de utilizator.
• X-Content-Type-Options : X-Content-Type-Options este un fel de antet de răspuns HTTP cu valoarea nosniff, care împiedică browserele web să găsească MIME-un răspuns de la tipul de conținut declarat.
• Politica referitor: politica referitor este un antet de răspuns HTTP care previne scurgerea pe mai multe domenii.

Pentru a adăuga anteturi HTTP securizate în WordPress, pur și simplu adăugați următoarele linii de cod în fișierul dvs. .htaccess .

Set antet Strict-Transport-Security "max-age=31536000" env=HTTPS
Antetul se adaugă întotdeauna X-Frame-Options SAMEORIGIN
Set antet X-XSS-Protection „1; mod=bloc”
Setul antet X-Content-Type-Options nosniff
Antet referitor-Politica: no-referrer-when-downgrade

Acum accesați securityheaders.com pentru a verifica dacă codurile funcționează sau nu. Nu am adăugat „Politica de securitate a conținutului”, deoarece vă poate distruge site-ul. Cu toate acestea, este suficient pentru a vă face site-ul WordPress sigur.

Inapoi sus

Concluzie

Există multe modalități prin care puteți întări securitatea WordPress, cum ar fi: utilizarea unei găzduiri WordPress gestionate, utilizarea parolelor puternice pentru conturi, monitorizarea activităților utilizatorilor, utilizarea unui plugin de securitate WordPress, implementarea SSL și HTTPS și multe altele.

Hardingul securității WordPress nu este știință rachetă. Vă puteți securiza cu ușurință site-ul WordPress prin implementarea celor mai bune practici de securitate WordPress pe care le-am împărtășit în acest articol. Implementându-le, nu numai că veți securiza site-ul dvs. WordPress, ci și veți împiedica hackerii să vă acceseze site-ul.

Odată terminat, nu va trebui să vă faceți griji cu privire la securitatea WordPress. În plus, poți fi mai productiv și fără efort.

ACUM e rândul tău . Citiți articolul cu atenție și implementați-le pe site-ul dvs. Vei fi fericit că ai făcut-o.

Am omis vreun sfat important de securitate WordPress de menționat aici? nu ezitați să ne anunțați în secțiunea de comentarii.

Infografic de securitate WordPress