Un ghid pentru începători pentru a vă proteja site-ul WordPress

WordPress este unul dintre cele mai populare sisteme de management de conținut.

De fapt, această platformă de publicare este utilizată acum de peste 27,5% din primele 10 milioane de site-uri. Alte platforme precum Joomla și Drupal pur și simplu palid în comparație. Ceea ce face ca WordPress să fie atât de larg acceptat este ușurința sa de utilizare, făcând posibilă construirea unui site complet funcțional într-o perioadă scurtă de timp.

Dar faptul că WordPress este atât de răspândit îl face și o țintă pentru hackeri.

Orice vulnerabilități de securitate ar putea face site-ul dvs. susceptibil la atacuri rău intenționate și chiar ar putea compromite datele utilizatorilor în acest proces. Acest tip de atac poate fi absolut devastator pentru orice afacere.

Un site compromis nu numai că reduce încrederea în vizitatorii dvs., dar vă poate pune paginile pe lista neagră pe Google. De fapt, un pas pe care Google îl face deja către un web mai sigur este afișarea unui avertisment pentru utilizatorii Chrome dacă încearcă să viziteze un site potențial nesigur sau înșelător (de exemplu, phishing sau malware).

Oricine vă vizitează site-ul (dacă a fost atacat) poate fi întâlnit cu următoarele:

Importanța securității site-ului web nu poate fi subliniată suficient.

Tot ce este nevoie este un singur atac pentru a opri vânzările și, potențial, a face site-ul dvs. pe lista neagră pe Google. Eliminarea site-ului dvs. este cu siguranță posibilă, dar va trebui să solicitați o revizuire manuală, care poate dura câteva zile sau chiar săptămâni pentru a se rezolva, în funcție de problemă. O soluție mult mai bună este să luați măsuri pentru a vă proteja site-ul.

Aici aruncăm o privire în profunzime asupra modului în care vă puteți proteja și menține site-ul WordPress în siguranță.

Păstrați WordPress actualizat

Actualizările pentru WordPress sunt critice.

O evaluare a peste 11.000 de site-uri infectate a constatat că 75% erau pe WordPress. Mai surprinzător este însă faptul că peste 50% dintre aceste site-uri web erau învechite. Actualizarea la cea mai recentă versiune nu numai că vă oferă acces la funcții mai noi, dar, de asemenea, corectează defecte de securitate cunoscute pe care atacatorii le-ar putea exploata.

De fapt, aceste vulnerabilități de securitate devin cunoscute atunci când sunt disponibile noi actualizări. Iată un exemplu de jurnal de securitate pentru o versiune actualizată de WordPress:

Aceste informații sunt disponibile în mod deschis pe măsură ce sunt lansate noi actualizări. Dar dacă nu actualizați imediat, vă lăsați site-ul deschis atacurilor. Actualizați întotdeauna la cea mai recentă versiune pentru a vă menține site-ul în siguranță împotriva vulnerabilităților nou descoperite. Dacă există actualizări disponibile, veți vedea o notificare în partea de sus a tabloului de bord:

Versiunile mai noi de WordPress vă permit să actualizați cu ușurință printr-un clic pe un buton. Rețineți că site-ul dvs. va fi pus în modul de întreținere pentru o perioadă scurtă până la finalizarea actualizării. Actualizarea durează doar câteva minute, dar odată ce s-a terminat, nu va trebui să faceți nimic altceva.

Nu aveți chef să vă actualizați manual site-ul de fiecare dată?

Notificările pot fi destul de enervante. Dar actualizarea WordPress este una dintre cele mai simple modalități de a vă menține site-ul în siguranță. Dacă nu doriți să vă faceți griji dacă site-ul dvs. are cea mai recentă versiune, puteți configura actualizări automate cu câteva modificări simple.

Deschideți fișierul wp-config.php și adăugați următoarea linie la el:

[cod]
define('WP_AUTO_UPDATE_CORE', true);
[/cod]

De asemenea, puteți activa actualizările automate ale pluginurilor adăugând următoarea linie la același fișier:

[cod]
add_filter( 'auto_update_plugin', '__return_true');
[/cod]

Și adăugați această linie pentru a activa actualizările pentru teme:

[cod]
add_filter('auto_update_theme', '__return_true');
[/cod]

Adăugarea acestor rânduri vă va asigura că site-ul dvs. este menținut la zi fără a necesita nicio altă acțiune. Dacă sunteți o persoană care pur și simplu nu poate fi deranjată cu actualizări sau notificări, cu siguranță veți dori să configurați actualizări automate pentru a vă asigura că site-ul dvs. este mereu actualizat.

Protejați zona de administrare

Indiferent cât de sigur este ceva, oricine poate obține cu ușurință accesul dacă are instrumentele potrivite sau dacă proprietarii sunt neglijenți. Cu WordPress, zona de administrare este o țintă principală pentru hackeri.

Urmați acești pași pentru a menține această pagină în siguranță:

Utilizați o parolă puternică

Dacă utilizați o parolă slabă (de exemplu, „12345”, „parolă”, etc.), vă expuneți site-ului la un risc mai mare, deoarece atacatorii pot folosi scripturi automate pentru a pătrunde cu forța brută. Aceasta înseamnă să încercați în mod repetat o parolă până când una funcționează în sfârșit. . Dar utilizarea unei parole puternice care conține o combinație de numere și simboluri face aproape imposibilă spargerea chiar și a celor mai sofisticate programe.

Utilizați un instrument precum Strong Password Generator pentru a crea o parolă puternică și sigură pentru site-ul dvs. WordPress:

Forțarea brută a unei parole ca aceasta i-ar lua unui program de calculator ani sau chiar zeci de ani pentru a sparge. Dezavantajul este că o parolă puternică este greu de reținut. Dar compromisul merită cu siguranță dacă înseamnă să împiedici atacatorii să obțină acces la site-ul tău. Din fericire, există o serie de manageri de parole disponibile pe care le puteți folosi pentru a vă stoca parola.

Schimbați-vă numele de utilizator

Când instalați pentru prima dată WordPress, vi se va cere să introduceți un nume de utilizator.

Atacatorii nu vor putea accesa tabloul de bord decât dacă au atât numele de utilizator, cât și parola. Puteți bloca cu ușurință încercările de forță brută folosind pur și simplu un nume de utilizator mai unic. Deci, nu folosiți „admin” atunci când alegeți un nume de utilizator.

Limitați încercările de conectare

După cum sa menționat anterior, atacatorii pot folosi programe pentru a ajunge cu forța brută în site-ul dvs. Cu toate acestea, există pluginuri disponibile, cum ar fi Login LockDown, care vă permit să limitați încercările de conectare de la o anumită adresă IP. Dacă mai mult de câteva încercări nu reușesc, acel utilizator este blocat.

Redenumiți-vă pagina de conectare

În cele din urmă, o altă modalitate de a proteja zona de administrare este mutarea completă a paginii de autentificare. Tabloul de bord este de obicei accesat de pe www.yoursite.com/wp-admin . O problemă flagrantă este că hackerii știu că simpla adăugare a „ /wp-admin ” la un site WordPress le va oferi acces la pagina de administrare.

Protect WP-Admin rezolvă această problemă permițând webmasterilor să personalizeze adresa URL a panoului de administrare:

Protejarea zonei de administrare urmând acești pași poate reduce și bloca foarte mult atacurile automate la adresa site-ului dvs.

Activați autentificarea cu doi factori

Autentificarea cu doi factori adaugă un nivel suplimentar de securitate făcând și mai dificil pentru atacatori să obțină acces la contul dvs. Conectarea necesită nu numai un nume de utilizator și o parolă, ci și un cod de autorizare suplimentar, care este de obicei trimis prin SMS pe un dispozitiv mobil.

Chiar dacă un atacator vă ghicește cumva numele de utilizator și parola, acesta nu ar putea să se autentifice la contul dvs. fără codul de autorizare. Descărcați și instalați pluginul Google Authenticator pentru a configura cu ușurință autentificarea cu doi factori pe site-ul dvs.:

Pe lângă faptul că poate utiliza aplicația Google Authenticator pentru verificare, pluginul oferă și opțiuni suplimentare pentru autentificarea cu doi factori, cum ar fi verificarea e-mailului și a apelurilor telefonice. Autentificarea cu doi factori poate fi utilizată și dacă site-ul dvs. are mai mulți utilizatori.

Utilizați .htaccess pentru a limita accesul la fișierele cruciale

Puteți întări și mai mult securitatea site-ului dvs. WordPress cu fișierul .htaccess. Acest fișier este utilizat în principal în WordPress pentru optimizarea site-ului web, cum ar fi rescrierea adreselor URL pentru a fi mai ușor de utilizat și de motoarele de căutare. Dar poate fi folosit și pentru a îmbunătăți securitatea site-ului dvs.

Fișierul .htaccess se găsește de obicei în folderul rădăcină și poate fi accesat fie printr-un client FTP, fie prin cPanel. Există, de asemenea, mai multe plugin-uri disponibile, inclusiv SEO by Yoast, care permite accesul direct din tabloul de bord.

Iată câteva modalități de a vă proteja site-ul folosind fișierul .htaccess:

Ascunde wp-config.php

Fișierul wp-config.php este standard pentru fiecare instalare, dar conține și informații sensibile, cum ar fi cheile de securitate și detaliile de conectare la baza de date la site-ul dvs. Acestea sunt detalii pe care cu siguranță nu le doriți în mâinile greșite. Cea mai bună soluție este atunci să ascundeți acest fișier în întregime și să îl faceți inaccesibil.

Ascundeți fișierul wp-config.php adăugând următorul cod în fișierul .htaccess:

[cod]
<fișiere wp-config.php>
comanda permite, refuza
nega de la toti
</fișiere>
[/cod]

Preveniți navigarea în directoare

Datorită modului în care WordPress implementează structura de fișiere, este posibil ca vizitatorii să acceseze folderele și fișierele site-ului dvs. prin simpla navigare la yoursite.com/wp-content/uploads. Așa că veți dori să împiedicați navigarea în directoare, deoarece atacatorii ar putea folosi aceste informații în scopuri nefaste.

Adăugați următoarea linie în fișierul dvs. .htaccess:

[cod]
Opțiuni Toate -Indici
[/cod]

Fișierele PHP sunt incredibil de importante de protejat, deoarece hackerii pot folosi aceste fișiere pentru a injecta cod rău intenționat pentru a infecta un site. Adăugați următorul cod în fișierul dvs. .htaccess pentru a preveni accesul la fișierele PHP ale pluginului și temei:

[cod]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/cod]

Doar adăugarea acestor modificări la fișierul dvs. .htaccess va îmbunătăți securitatea site-ului dvs. WordPress și va face și mai greu pentru atacatori să obțină acces la site-ul dvs. Indiferent, nu există un astfel de site care să fie complet sigur, deoarece noi vulnerabilități sunt descoperite și exploatate în mod constant.

De aceea trebuie să aveți un plan de rezervă în cazul în care lucrurile se înrăutățesc.

Faceți backup regulat pentru site-ul dvs. Mențineți copii de rezervă regulate

Indiferent de câte măsuri de siguranță ai lua, site-ul tău ar putea fi în continuare vulnerabil.

Chiar dacă WordPress există de peste un deceniu, echipa de dezvoltare identifică și remediază în mod constant problemele de securitate. Ca să nu mai vorbim de faptul că orice teme sau plugin-uri noi pe care le instalați ar putea avea și exploit-uri care nu au fost încă remediate.

De aceea, este o idee bună să faceți backup regulat pentru site-ul dvs. În acest fel, puteți să vă restabiliți rapid site-ul și să minimizați orice pierderi în cazul în care site-ul dvs. este eliminat dintr-un atac.

Veți dori să vă asigurați că site-ul dvs. are copii de rezervă conform unui program regulat și, de asemenea, salvat în cloud. Dacă computerul dvs. este compromis, veți putea accesa copia de rezervă și restaurarea de pe alt dispozitiv. Vă recomandăm să utilizați o soluție automată, cum ar fi BackupBuddy.

Majoritatea soluțiilor de rezervă necesită un abonament plătit. Dar dacă te bazezi pe site-ul tău web pentru afacerea ta, plata merită doar pentru liniștea sufletească. În cazul în care site-ul dvs. este eliminat din cauza unui atac, puteți lucra cu furnizorul dvs. de găzduire și puteți reveni cu ușurință la o versiune anterioară a site-ului cu o copie de rezervă.

Concluzie

În timp ce WordPress în sine este relativ sigur, adăugarea de teme, pluginuri și cod personalizat crește probabilitatea unei vulnerabilități de securitate pe care hackerii o pot (și o fac). Dacă nu luați anumite măsuri de securitate chiar acum, site-ul dvs. ar putea fi o potențială țintă.

Este important să rețineți că niciun sistem nu este complet sigur. Dar există măsuri de precauție pe care le poți lua și care vor reduce foarte mult șansele de a fi afectat de un atac rău intenționat.

Urmați pașii descriși aici pentru a întări securitatea site-ului dvs. WordPress.