14 moduri de a vă asigura site-ul WordPress – pas cu pas

Securitatea WordPress ar trebui să fie o prioritate de top pentru proprietarii de site-uri. De ce? Pentru că există până la 90.000 de atacuri pe site-urile WordPress în fiecare minut.

Dacă acest lucru nu este suficient de îngrijorător, în fiecare săptămână Google pune pe lista neagră aproximativ 20.000 de site-uri web pentru malware și 50.000 pentru phishing. Și atunci când un site web este inclus pe lista neagră – iar utilizatorii sunt forțați să accepte riscurile – are ca rezultat o pierdere de aproximativ 95% din trafic.

În timp ce cea mai recentă versiune de WordPress este întotdeauna cea mai sigură versiune disponibilă, există mai multe pe care le puteți face site-ului dvs. pentru a vă asigura că este impenetrabil pentru hackeri și roboți.

Iată câteva sfaturi de cele mai bune practici pentru a vă ajuta să vă securizați site-ul.

1. Utilizați o gazdă web bună
2. Utilizați numai teme și pluginuri de calitate
3. Păstrați la zi nucleul, temele și pluginurile WordPress
4. Nu folosiți „Admin” ca nume de utilizator
5. Utilizați o parolă puternică
6. Utilizați autentificarea cu doi factori
7. Limitați încercările de conectare
8. Instalați un certificat SSL
9. Schimbați prefixul bazei de date
10. Protejarea fișierelor wp-config.php și .htaccess
11. Adăugați chei de securitate
12. Dezactivați editarea fișierelor
13. Împiedicați executarea fișierelor PHP
14. Dezactivează XML-RPC selectiv

1. Utilizați o gazdă web bună

O gazdă web bună este prima ta linie de apărare împotriva atacurilor asupra site-ului tău. Deci nu optați automat pentru găzduire partajată ieftină. În schimb, fă-ți temele.

Alegeți o gazdă de renume care acceptă cele mai recente versiuni ale tehnologiilor web de bază, cum ar fi PHP și MySQL. Asigurați-vă că verificați că gazda dvs. acceptă PHP 7 – este versiunea oficială PHP recomandată pentru WordPress.

Luați în considerare alegerea unei gazde WordPress gestionate. Aceste servicii sunt configurate special pentru WordPress și au grijă de toate aspectele tehnice importante ale găzduirii, inclusiv securitatea, backup-urile, timpul de funcționare și performanța.

2. Folosiți numai teme și pluginuri de calitate

Potrivit WPScan, 52% dintre vulnerabilitățile site-ului sunt cauzate de pluginuri, în timp ce 11% sunt cauzate de teme. Combinați, aceasta reprezintă mai mult de 60% din securitatea WordPress

Cel mai simplu mod de a vă asigura că pluginurile și temele pot rezista atacurilor este să le descărcați numai din surse de renume. Aceasta include WordPress.org și furnizorii premium. Descărcarea de la dezvoltatori dubii care ascund cod rău intenționat în temele și pluginurile lor ar putea compromite site-ul dvs.

Dacă nu sunteți sigur dacă un site web de pe care doriți să îl descărcați este sigur, căutați mărturii și recenzii pentru a vă asigura că produsul dorit este de calitate a sunetului.

De asemenea, asigurați-vă că orice plugin și teme pe care le utilizați sunt, de asemenea, bine susținute și actualizate în mod regulat. Dacă un plugin sau o temă nu a fost actualizată de mult timp, sunt șanse să conțină găuri de securitate care nu sunt corectate sau chiar cod prost care te-ar putea lăsa vulnerabil la hack-uri.

În cele din urmă, păstrați doar pluginurile și temele de care aveți nevoie și de care aveți de fapt. Cu cât ai mai multe, cu atât este mai mare riscul de a fi piratat. Așadar, revizuiți-vă în mod regulat lista de pluginuri și teme și dezactivați și ștergeți pe cele de care nu aveți nevoie.

3. Țineți actualizate corespondența, temele și pluginurile WordPress

WordPress este un software open source dezvoltat și întreținut de o comunitate mondială de voluntari. Cu fiecare nouă lansare, toate vulnerabilitățile de securitate sunt corectate.

În mod implicit, WordPress instalează automat actualizări minore (adică WordPress 4.9.4). Dar pentru versiunile majore (adică WordPress 4.9), sarcina dvs. de a actualiza manual la cea mai recentă versiune.

Asigurați-vă că site-ul dvs. rulează întotdeauna cea mai recentă versiune de WordPress.

Aceste actualizări de bază sunt esențiale pentru securitatea și performanța site-ului dvs. Așadar, asigurați-vă că faceți backup pentru site-ul dvs. și aplicați toate actualizările de bază atunci când acestea devin disponibile.

De asemenea, este important să actualizați în mod regulat orice plugin și teme, astfel încât să utilizați întotdeauna cele mai actualizate și mai sigure versiuni de software.

4. Nu utilizați „Admin” ca nume de utilizator

Nu utilizați „admin” ca nume de utilizator pentru site-ul dvs. Versiunile anterioare ale WordPress au folosit „admin” ca nume de utilizator implicit, făcându-le mai ușor pentru hackeri – o piesă mai puțin din puzzle de ghicit în timpul unui atac cu forță brută.

Dar versiunile recente ale WordPress au schimbat acest lucru, oferind utilizatorilor posibilitatea de a-și introduce propriul nume de utilizator în timpul instalării. Cu toate acestea, unii oameni încă aleg să folosească „admin” în loc să vină cu un nume de utilizator original. Doar nu.

Doriți să îngreunați atacatorii rău intenționați să pătrundă în site-ul dvs., astfel încât atacurile durează mai mult și dvs. sau furnizorul dvs. de găzduire puteți identifica orice atac înainte ca acestea să aibă succes și să le opriți.

5. Utilizați o parolă puternică

Creați întotdeauna parole puternice și unice pentru contul dvs. de administrator WordPress, baza de date, contul de găzduire, adresa de e-mail și orice cont FTP. La fel ca numele de utilizator, parolele sunt o altă piesă a puzzle-ului pe care hackeri o pot ghici și, cu cât parola dvs. este mai puternică, cu atât le este mai dificil pentru hackeri să se conecteze cu succes la site-ul dvs.

În timpul instalării, WordPress va încerca să vă forțeze o parolă puternică și vă va cere să bifați o casetă dacă introduceți una slabă. Deși poate doriți să găsiți propria parolă, instrumente precum Secure Password Generator vă pot crea o parolă puternică.

Secure Password Generator vă permite să creați parole unice și aleatorii.

6. Utilizați autentificarea cu doi factori

Chiar și cu un nume de utilizator și o parolă puternice, atacurile cu forță brută sunt încă o problemă pentru multe site-uri web. Aici poate ajuta autentificarea cu doi factori.

Autentificarea cu doi factori adaugă un alt pas în procesul de conectare, forțând utilizatorii să introducă un cod trimis pe telefonul lor mobil, pe lângă introducerea acreditărilor obișnuite de conectare. Acest lucru poate împiedica atacurile automate și poate asigura că site-ul dvs. nu devine victima hackerilor.

Plugin-uri precum iThemes Security pot implementa autentificarea cu doi factori. Există, de asemenea, pluginuri gratuite precum Two Factor Authentication care pot adăuga acest strat suplimentar de securitate site-ului dvs.

Pluginul gratuit de autentificare cu doi factori vă permite să adăugați cu ușurință un alt nivel de protecție atunci când vă conectați la site-ul dvs.

7. Limitați încercările de conectare

În mod implicit, puteți încerca să vă conectați la contul dvs. WordPress de câte ori doriți. Deși acest lucru ar putea fi convenabil pentru dvs. dacă sunteți uituc și nu vă primiți întotdeauna parola corect la prima sau chiar a treia încercare, este convenabil și pentru hackerii care efectuează atacatori cu forță brută - le oferă un număr nelimitat de încercări de spargere. combinația de nume de utilizator și parolă.

Acest lucru poate fi remediat cu ușurință prin limitarea numărului de încercări eșuate de conectare pe care un utilizator le poate face pe site-ul dvs. Pluginurile gratuite precum WP Limit Login Attempts vă permit să limitați încercările de conectare și să blocați temporar adresele IP.

8. Instalați un certificat SSL

Instalarea unui certificat SSL pe site-ul dvs. este o necesitate, mai ales dacă aveți un magazin de comerț electronic. Nu numai pentru că va îngreuna hackerilor să intercepteze informații sensibile între browserele utilizatorilor și serverul dvs., ci pentru că acum Google insistă ca toate site-urile să aibă unul.

Începând din iulie 2018, odată cu lansarea Chrome 68, paginile web care se încarcă fără HTTPS vor fi marcate ca „nesecurizate”. Aceasta înseamnă că utilizatorii care încearcă să acceseze site-uri care nu au un certificat SSL vor primi un avertisment că site-ul nu este de încredere.

Acest anunț este o mare problemă deoarece, potrivit Cloudflare, mai mult de jumătate dintre vizitatorii web vor vedea aceste avertismente.

Let's Encrypt este o autoritate de certificare gratuită care furnizează certificate SSL proprietarilor de site-uri.

Obținerea unui certificat SSL devine din ce în ce mai ușor de făcut. Let's Encrypt oferă certificate open source gratuite, în timp ce companiile de găzduire vor oferi, în general, unul gratuit (și uneori chiar gratuit).

9. Schimbați prefixul bazei de date

În mod implicit, WordPress folosește wp_ ca prefix pentru toate tabelele din baza de date a site-ului dvs. Aceasta înseamnă că, dacă utilizați versiunea implicită – care este cunoștințele obișnuite despre WordPress – hackerii pot ghici cu ușurință care este numele tabelului, făcându-l vulnerabil pentru injecții SQL.

O modalitate simplă de a remedia acest lucru pentru a schimba prefixul în ceva aleatoriu, cum ar fi 5jiqtu69dg_ folosind un generator de șiruri aleatorii. Pentru a actualiza prefixul tabelului, deschideți fișierul wp-config.php din rădăcina directorului de fișiere al site-ului dvs. și găsiți această linie:

 $table_prefix = 'wp_';

Folosind exemplul meu, ați înlocui linia astfel:

 $table_prefix = '5jiqtu69dg_';

În continuare, va trebui să actualizați prefixul utilizat în baza de date. În timp ce pluginurile de securitate precum iThemes Security vă pot ajuta să faceți acest lucru rapid și ușor, puteți afla cum să o faceți manual prin phpMyAdmin aici.

10. Protejarea fișierelor wp-config.php și .htaccess

Fișierul wp-config.php al site-ului dvs., care se află de obicei în folderul rădăcină al site-ului dvs., conține informații critice despre instalarea dvs. WordPress, inclusiv numele, gazda, numele de utilizator și parola pentru baza de date. Între timp, .htaccess este un fișier ascuns care stabilește configurația serverului la nivel de director, activează permalink-uri destul de bune și permite redirecționări.

Prevenirea accesului la aceste fișiere critice este ușoară. Pur și simplu adăugați următoarele în fișierul dvs. .htaccess pentru a proteja wp-config.php:

 <Fișiere wp-config.php>
comanda permite, refuza
nega de la toti
</Fișiere>

Alternativ, puteți pur și simplu să mutați fișierul wp-config.php în directorul mai sus, deoarece WordPress îl va căuta automat acolo.

Pentru a opri accesul nedorit la .htaccess, tot ce trebuie să faceți este să schimbați numele fișierului din cod:

 <Fișiere .htaccess>
comanda permite, refuza
nega de la toti
</Fișiere>

11. Adăugați chei de securitate

Cheile de securitate și sărurile WordPress criptează informațiile stocate în cookie-urile browserului, protejând parolele și alte informații sensibile. Există în total patru chei de securitate: AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY și NONCE_KEY .

Aceste chei de autentificare sunt practic un set de variabile aleatorii și fac mai dificilă spargerea parolelor. O parolă necriptată precum „wordpress” nu necesită mult efort pentru ca atacatorii să o rupă. Dar o parolă lungă și aleatorie precum „L2(Bpw 6#:S.}tjSKYnrR~.Dys5c>+>2l2YMMSVWno4`!%wz^GOBf};uj*>-tkye” este mult mai dificil de spart.

Adăugarea cheilor de securitate și a sărurilor este un proces manual și ușor de făcut. Iată cum să o faci:

1. Obțineți un nou set de chei de securitate și săruri. Le puteți genera aleatoriu aici.
2. Apoi, actualizați fișierul wp-config.php. Deschideți fișierul și derulați în jos până când găsiți secțiunea de mai jos și înlocuiți vechile valori cu noile chei și săruri:

 /**#@+
 * Chei și săruri unice de autentificare.
 *
 * Schimbați-le în diferite fraze unice!
 * Le puteți genera folosind {@link https://api.wordpress.org/secret-key/1.1/salt/ serviciul de cheie secretă WordPress.org}
 * Puteți modifica acestea în orice moment pentru a invalida toate modulele cookie existente. Acest lucru va obliga toți utilizatorii să se autentifice din nou.
 *
 * @din 2.6.0
 */
define('AUTH_KEY', 'adăugați aici variabile unice');
define('SECURE_AUTH_KEY', 'adăugaţi aici variabile unice');
define('LOGGED_IN_KEY', 'adăugaţi aici variabile unice');
define('NONCE_KEY', 'adăugaţi aici variabile unice');
define('AUTH_SALT', 'adăugaţi aici variabile unice');
define('SECURE_AUTH_SALT', 'adăugaţi aici variabile unice');
define('LOGGED_IN_SALT', 'adăugaţi aici variabile unice');
define('NONCE_SALT', 'adăugaţi aici variabile unice');

/**#@-*/

3. Salvați fișierul wp-config.php. Veți fi deconectat automat de la site-ul dvs. WordPress și va trebui să vă conectați din nou.

12. Dezactivați editarea fișierelor

WordPress dispune de un editor de cod intern pentru fișiere plugin și teme. Deși acest lucru este util pentru administratorii care doresc să facă modificări rapide la fișiere, înseamnă, de asemenea, că hackerii și utilizatorii de nivel înalt pot face modificări de fișiere. Puteți găsi această funcție accesând Aspect > Editor în administratorul dvs. WordPress.

Puteți dezactiva editarea fișierelor în fișierul wp-config.php. Doar deschideți fișierul și adăugați această linie de cod:

 define('DISALLOW_FILE_EDIT', true);

Veți putea în continuare să vă editați pluginurile și temele prin FTP sau cPanel, dar nu în administratorul WordPress.

13. Preveniți executarea fișierelor PHP

Un folder comun pentru hackeri pentru a încărca malware în WordPress este wp-content/uploads, dar și wp-includes/ . Pentru a preveni executarea fișierelor în aceste foldere, creați un fișier text nou într-un editor de text și inserați acest cod:

 <Fișiere *.php>
nega de la toti
</Fișiere>

Apoi, salvați acest fișier ca .htaccess și încărcați-l atât în ​​folderele dvs. /wp-content/uploads și wp-includes/ prin FTP sau cPanel.

14. Dezactivați XML-RPC selectiv

XML-RPC, sau XML Remote Procedure Call, este un API care vă ajută să conectați aplicațiile web și mobile cu site-ul dvs. WordPress. A fost activat implicit în WordPress 3.5, dar de atunci s-a descoperit că amplifică în mod semnificativ atacurile cu forță brută.

De exemplu, dacă un hacker a vrut să încerce 500 de parole diferite pe site-ul dvs., de obicei ar trebui să facă 500 de încercări separate de autentificare. Dar cu XML-RPC, hackerul ar putea folosi funcția system.multicall pentru a încerca un număr mare de combinații de nume de utilizator și parole într-o singură solicitare HTTP.

Deși ar fi ușor să dezactivați pur și simplu această funcție pentru site-ul dvs., ar însemna pierderea funcționalității pentru plugin-uri precum Jetpack. În schimb, cel mai bine este să selectați modul în care implementați și dezactivați XML-RPC folosind plugin-uri special concepute.

Bonus: Cum se verifică vulnerabilități

Există câteva moduri diferite în care vă puteți verifica site-ul pentru vulnerabilități: cu un scanner de site online sau cu un plugin.

Cu aceste instrumente online gratuite, tot ce trebuie să faceți pentru a introduce adresa URL a site-ului dvs. și vor începe să scaneze site-ul dvs. pentru vulnerabilități cunoscute:

Scanare de securitate WordPress – Acest instrument verifică pasiv problemele de securitate de bază. Va trebui să faceți upgrade la un plan premium pentru testare avansată.

Sucuri SiteCheck – Verificați site-ul dvs. pentru malware cunoscut, starea listei negre, erori de site și software învechit. Cu o actualizare premium, acest instrument va face curățarea programelor malware, protecția împotriva DDoS/forța brută, eliminarea listei negre și monitorizarea securității.

WPScan – Acest scaner de vulnerabilități WordPress cu casetă neagră găzduit la GitHub vă permite să vă scanați site-ul pentru vulnerabilități cunoscute cu core, pluginuri și teme. Va trebui să utilizați Terminalul pentru a rula această aplicație. Este gratuit pentru uz personal și sponsorizat de Sucuri.

Bonus: Cele mai bune pluginuri de securitate WordPress

Instalarea unui plugin de securitate pe site-ul dvs. WordPress adaugă o altă linie de apărare împotriva posibilelor atacuri. Acestea oferă o gamă largă de funcții pentru a vă ajuta să vă securizați site-ul – inclusiv scanări ale site-ului – și vă pot notifica când site-ul dvs. a fost compromis.

Iată primele 3 plugin-uri:

Wordfence

Plugin de securitate Wordfence.

WordFence este un plugin de securitate gratuit extrem de popular, cu peste 2 milioane de instalări active și o opțiune premium disponibilă. Dispune de un „Threat Defense Feed” care atrage cele mai noi reguli de firewall, semnături malware și adrese IP rău intenționate, păstrând site-ul dvs.

Un firewall de aplicație web identifică și blochează traficul rău intenționat, în timp ce o listă neagră de IP în timp real blochează toate solicitările de la IP-uri rău intenționate, protejând site-ul dvs. și reducând în același timp încărcarea.

Acest plugin protejează împotriva atacurilor de forță brută limitând încercările de conectare, impunând parole puternice și alte măsuri de securitate pentru conectare. Dacă găsește orice fel de infecție pe site-ul dvs., vă va anunța prin e-mail. De asemenea, puteți monitoriza traficul către site-ul dvs. în timp real pentru a verifica dacă este atacat.

Sucuri

Plugin de securitate Sucuri.

Pentru un plugin de securitate gratuit, pluginul de securitate al Sucuri oferă un set cuprinzător de funcții, inclusiv auditarea activității de securitate, astfel încât să puteți urmări orice modificări aduse site-ului dvs., monitorizarea integrității fișierelor, scanarea de la distanță a malware, monitorizarea listei negre și măsuri de întărire a securității.

O secțiune „acțiuni de securitate post-hack” a pluginului vă prezintă cele trei lucruri cheie pe care ar trebui să le faceți după un compromis. De asemenea, puteți activa notificările de securitate, astfel încât atunci când o infecție este găsită pe site-ul dvs. sau este compromisă, veți fi alertat imediat.

Când faceți upgrade la versiunea premium, aveți acces la un firewall pentru site-ul web pentru protecție suplimentară.

iThemes Security

Plugin de securitate iThemes.

În timp ce versiunea gratuită a iThemes Security ajută la blocarea WordPress, la remedierea găurilor comune și la consolidarea acreditărilor utilizatorilor, versiunea pro oferă aproape toate măsurile de securitate de care ai putea avea nevoie.

Există autentificare în doi factori, programarea scanării programelor malware și înregistrarea acțiunilor utilizatorului, astfel încât să puteți urmări când utilizatorii editează conținutul, se autentifică sau se deconectează. Puteți actualiza cheile și sărurile de securitate, puteți seta expirarea parolei și puteți adăuga Google reCAPTCHA pe site-ul dvs.

Alte caracteristici includ compararea fișierelor online, integrarea WP-CLI și escaladarea temporară a privilegiilor, astfel încât să puteți acorda acces temporar de administrator sau editor la site-ul dvs.

Concluzie

Nu există o modalitate corectă de a vă proteja site-ul WordPress împotriva amenințărilor de securitate. Cel mai bun lucru pe care îl puteți face este să mențineți actualizate nucleul, temele și pluginurile WordPress și să implementați o serie de soluții diferite care corectează vulnerabilitățile, protejează fișierele critice și obligă utilizatorii să-și consolideze acreditările.

Programarea backup-urilor regulate este, de asemenea, o necesitate. Nu știi niciodată când site-ul tău ar putea ceda unui atac, așa că este important să fii pregătit și să ai un plan în vigoare pentru restabilirea rapidă a site-ului în caz de urgență.

Investiția într-un plugin de securitate solid, care vă permite să vă scanați site-ul pentru vulnerabilități, să monitorizați acțiunile și să vă avertizeze atunci când ceva nu este în regulă, vă va ajuta, de asemenea, să vă întăriți site-ul și să vă asigurați că este bine protejat împotriva amenințărilor.