Cum să vă protejați site-ul WordPress [Singurul ghid de care veți avea vreodată nevoie]
Publicat: 2021-08-05
Utilizatorii WordPress tind să petreacă mult timp cu designul, conținutul și optimizarea site-ului lor, dar uită adesea un factor esențial: securitatea site-ului. Deși poate părea o chestiune plictisitoare pentru oamenii care nu sunt dezvoltatori, păstrarea WordPress în siguranță este o parte esențială a conducerii afacerii tale.
De ce poți întreba?
Să explorăm împreună această întrebare.
Mulți oameni ignoră aceste informații, deoarece nu s-au confruntat niciodată cu un site web piratat și, prin urmare, pur și simplu nu își pot imagina bătălia, timpul și efortul pe care îl poate cauza rezolvarea.
În primul rând, dacă conduceți o afacere online, sau cel puțin gestionați o parte din afacerea dvs. prin intermediul site-ului web, un atac de hacker vă va opri inevitabil procesul de lucru. Dacă dețineți un magazin online, nu veți putea vinde; dacă rezervați întâlniri prin intermediul site-ului dvs. web, nu veți putea face acest lucru.
Pentru magazinele online cu volum mare, acest lucru este deosebit de rău - nu numai că nu veți putea vinde pentru o perioadă, dar este posibil să pierdeți și comenzi. Copiile de rezervă ale site-ului sunt de obicei create o dată pe zi, iar dacă sunteți piratat la câteva ore după ce ați terminat, toate comenzile făcute între timp se vor pierde.
Dacă site-ul dvs. este operațional, este posibil să fi avut loc un hack - de exemplu, link-urile pot fi injectate în cod și pot indica alte site-uri web.
Dacă generați bani pe site-ul dvs. prin intermediul reclamelor, puteți înlocui anunțurile cu anunțurile altcuiva (și, prin urmare, afișați anunțuri din care nu veți obține niciun venit).
Există o mulțime de cazuri în care site-ul dvs. poate fi compromis și vă va lua zile, dacă nu săptămâni, să vă dați seama. În scenariul cu injectarea link-urilor spam, acest lucru vă poate afecta SEO (deoarece Google nu-i plac foarte mult link-urile spam). Drept urmare, clasamentele dvs. Google ar putea avea de suferit și vă poate dura mult, mult timp pentru a repara acest tip de daune.
Mai este și problema încrederii clienților; oamenii sunt foarte îngrijorați când aud că un site web pe care îl folosesc a fost piratat.
Utilizarea certificatelor SSL a prevenit cele mai grave consecințe, cum ar fi scurgerile de numere de card de credit, dar unele date pot fi încă obținute. Utilizatorii pot asocia un atac de hacker pe site-ul dvs. cu o securitate slabă și pot decide să înceteze cu totul să vă mai folosească serviciile.
În general, dacă site-ul dvs. este spart, îl puteți repara, dar protejarea WordPress în primul rând este o cale mult mai nedureroasă.
Dacă a avut loc deja un atac, puteți utiliza un plugin pentru a vă scana site-ul web, dar majoritatea pluginurilor disponibile vor indica doar ce fișiere au fost modificate recent și va trebui totuși să curățați totul manual.
Un alt mod în care puteți încerca să remediați acest lucru este prin restaurarea unei copii de rezervă a site-ului dvs. Aceasta, totuși, nu este o remediere garantată 100%, mai ales dacă nu ești sigur când WordPress a fost piratat (și, prin urmare, ce copie de rezervă este cu siguranță curată).
De asemenea, puteți contacta o agenție specializată care oferă eliminarea programelor malware și asistență tehnică; vor acționa relativ rapid și vor curăța WordPress-ul pentru tine, dar are un cost, desigur.
Trebuie să rețineți că, chiar dacă reușiți să remediați daunele, această situație se poate (și probabil se va întâmpla) din nou dacă nu setați o protecție adecvată.
Cea mai bună soluție aici este să acționați preventiv și să vă securizați site-ul, adoptând o abordare detaliată și cuprinzătoare a protecției.
Dar ce înseamnă asta?
Deci, cum vă protejați site-ul WordPress ? Ce pași acționați puteți lua? Ne bucurăm că ai întrebat! Continua să citești.
Modul în care este de obicei aleasă găzduirea web este printr-o recomandare de la un prieten, prin intermediul agenției care construiește site-ul web sau printr-o cercetare online.
Ceea ce caută adesea utilizatorii fără experiență este cel mai ieftin preț. La fel ca în majoritatea lucrurilor din viață, totuși, găzduirea fiabilă și de înaltă calitate va costa mai mult și, de asemenea, vă va oferi mai mult. Furnizorii de găzduire buni oferă o mulțime de caracteristici de securitate care ar putea însemna diferența dacă trebuie să aveți de-a face cu un site web piratat sau nu.
Pe de altă parte, furnizorii de găzduire low-cost vor tăia colțurile ori de câte ori pot pentru a acoperi diferența și, din păcate, securitatea este un domeniu care suferă foarte mult.
Permiteți-ne să vă oferim un exemplu cu unele dintre funcțiile pe care le punem la dispoziție clienților noștri. Pe lângă opțiunile clasice, cum ar fi protecție DDoS, certificate SSL și firewall-uri pentru aplicații web, avem câteva care vă vor îmbunătăți jocul de securitate al site-ului dvs.
Una dintre ele este Patchman, o aplicație care poate fi extrem de utilă utilizatorilor care nu își actualizează automat WordPress. Patchman vă scanează instalația și remediază orice vulnerabilități cunoscute în fișierele de bază WordPress și numeroase plugin-uri populare. În loc să actualizeze automat software-ul pentru a remedia vulnerabilitatea, care ar putea cauza probleme de dependență de rupere a site-ului, Patchman aplică remedierea de securitate la versiunea instalată în prezent.
Puteți avea deplină încredere că patch-urile aplicate se vor produce în siguranță și fără a vă deteriora site-ul.
Dacă optați pentru găzduire partajată, este imperativ să alegeți găzduire sigură și performantă. Multe companii oferă, de asemenea, găzduire WordPress, care este configurată special pentru WordPress, iar site-ul dvs. va funcționa de obicei mult mai bine pe acesta.
Dacă aveți un site web cu volum mare și alegeți să vă actualizați contul de găzduire, alegeți serverul dedicat complet gestionat care vă va garanta un nivel mai ridicat de securitate, spre deosebire de omologul său mai ieftin (negestionat).
Una peste alta, faceți o cercetare amănunțită despre găzduirea web și nu lăsați prețul să vă ghideze în alegerea dvs.
Motivul pentru care se întâmplă acest lucru se datorează vulnerabilităților descoperite de hackeri. Dacă sunteți interesat să citiți mai multe pe această temă, vă recomandăm acest articol, dar pentru a rezuma, vulnerabilitățile sunt „găuri” în codul aplicației pe care o utilizați. Există o luptă constantă între hackeri și dezvoltatorii de software, unde hackerii găsesc și exploatează vulnerabilitățile de securitate, iar dezvoltatorii caută să le corecteze rapid.
Ca și alte aplicații CMS, WordPress trece prin cicluri de actualizări, în care sunt adăugate noi caracteristici, iar dezvoltatorii lucrează pentru a remedia orice vulnerabilități cunoscute. În fiecare an, există de obicei 1-3 actualizări majore și multe minore, toate fiind critice pentru securitate, deoarece conțin aproape întotdeauna corecții de securitate.
Dar stai - dacă ai ceva de genul Patchman, de ce mai trebuie să actualizezi?
Patchman acoperă fișierele de bază WordPress și unele dintre cele mai populare plugin-uri, dar multe plugin-uri nu sunt corectate prin intermediul aplicației. Acest lucru înseamnă că toate aceste plugin-uri, dacă sunt lăsate învechite, vor deveni cu ușurință un punct de intrare pentru ca hackerii să facă ceea ce doresc pe site-ul tău.
Păstrarea WordPress actualizată este destul de ușoară.
În primul rând, toate versiunile după 5.6 (lansată în decembrie 2020) au actualizări automate activate, ceea ce înseamnă că nu trebuie să faci nimic. Dacă nu este cazul dintr-un anumit motiv (să spunem că dezvoltatorul dvs. le-a dezactivat), există câteva moduri în care vă puteți activa actualizările automate.
Una este prin Softaculous, aplicația folosită adesea de utilizatorii cPanel pentru a instala WordPress pe serverele lor. WordPress Manager de la Softaculous vă permite să configurați upgrade-uri automate; puteți alege să faceți upgrade automat doar pentru actualizări minore sau majore.
În plus, puteți opta pentru actualizarea automată a pluginurilor și temelor. Cel mai bine, va fi nevoie de o copie de rezervă înainte de orice actualizare automată, doar în cazul în care este nevoie să reveniți.
O altă opțiune, dacă sunteți oarecum priceput în a vă modifica codul, este să utilizați configurația nativă a actualizărilor automate a WordPress - aflați mai multe despre aceasta direct în KB WordPress.
Mulți oameni folosesc numele de utilizator „admin”, deoarece acesta apare în mod implicit atunci când folosesc o aplicație software precum Softaculous pentru a vă instala WordPress.
Nu folosiți numele de utilizator implicit , ceea ce facilitează hackerilor - alegeți un alt nume de utilizator, cum ar fi adresa dvs. de e-mail. Dacă vi s-a înmânat un utilizator deja creat cu acest nume de utilizator, creați un nou administrator și ștergeți-l pe cel existent.
Același lucru este valabil și pentru parola dvs. cu cât este mai puternic, cu atât mai bine. Alegeți o parolă lungă care include cifre și caractere speciale sau, și mai bine, generați una aleatorie.
Dacă sunteți îngrijorat că vă veți uita parola, încercați să veniți cu un sistem care să vă ajute să vă amintiți. Unora le place să folosească o combinație statică de caractere + numele site-ului ca diferențiere ( Jack1990Apple!), alții merg pe parole asoziative.
Desigur, puteți pur și simplu să vă salvați detaliile de conectare și să nu vă faceți griji dacă le veți aminti sau nu. Totuși, nu folosiți browserul pentru a vă stoca detaliile de conectare! Aceasta este o opțiune destul de nesigură (și folosită în mod obișnuit).
Dacă doriți să vă stocați detaliile de conectare, astfel încât să nu fie nevoie să le introduceți de fiecare dată, utilizați un manager de parole precum Lastpass - au un plan gratuit, iar detaliile dvs. de conectare vor fi cât mai sigure posibil. Cu managerul de parole, trebuie să vă amintiți doar o parolă (cea principală) și, de asemenea, să stocați detaliile cardului de credit.
Clienții serviciului de găzduire partajată de la Kualo sunt, de asemenea, protejați de atacurile de conectare în forță brută în mod automat - cu încercările de forță brută accelerate și blocate.
Aceasta înseamnă că, chiar dacă hackerii au detaliile dvs. exacte de conectare, ei nu se vor putea conecta fără acea autentificare suplimentară.
Puteți instala un plugin precum WP 2FA și puteți forța și alți utilizatori de pe site-ul dvs. să îl folosească (mai ales dacă au drepturi de administrator sau editor). Nu uitați să descărcați întotdeauna codurile de rezervă și să le stocați într-o locație sigură, în cazul în care pierdeți accesul la telefon.
Oricum, dacă o lăsați așa, le va fi mult mai ușor pentru hackeri să identifice intrarea în backend și să înceapă un atac cu forță brută.
Schimbați adresa URL (slug) la pagina dvs. de autentificare utilizând un plugin precum ThemeMyLogin sau căutați un plugin de securitate care să includă mai multe funcții pe care le-am enumerat (2FA, limitarea încercărilor de conectare etc.).
Există, de asemenea, un articol excelent al lui WPBeginner despre cum să vă schimbați manual adresa URL de conectare, dar dacă nu vă simțiți confortabil să gestionați codul, este mai bine să nu mergeți acolo.
Pe de altă parte, fiecare plugin pe care îl instalați este o altă bucată de cod care trebuie îngrijită (adică actualizată). O multitudine de pluginuri mărește, de asemenea, riscul de incompatibilitate - acesta este momentul în care două sau mai multe plugin-uri nu pot funcționa împreună - așa că trebuie să evitați instalarea de pluginuri fără de care nu puteți.
Unele dintre cele mai bune pluginuri de securitate vor combina mai multe funcții, așa cum am menționat mai sus, reducând astfel numărul de pluginuri pe care va trebui să le instalați pentru a face toate lucrurile despre care vorbim. Câteva exemple grozave sunt:
Dacă mai mulți utilizatori cu drepturi de administrator lucrează pe site-ul dvs. web, aceasta este o modalitate excelentă de a păstra o evidență a ceea ce se face.
Din punct de vedere al securității, vă poate arăta diverse informații care pot fi foarte utile - de la încercări eșuate de autentificare până la modificări ale fișierelor și setărilor site-ului WordPress. Dacă sunteți cineva căruia îi place să efectueze propria întreținere a site-ului web, această funcție este o necesitate.
O opțiune grozavă (și gratuită) este jurnalul de activitate WP, un plugin care există de ani de zile și este, de asemenea, cunoscut atât pentru jurnalul detaliat, cât și pentru simplitatea interfeței.
Odată, era necesar un SSL pentru site-urile web care trebuiau să fie sigure pentru anumite tranzacții, cum ar fi plăți. În zilele noastre, însă, nu contează dacă procesați sau nu plăți pe site-ul dvs. web. SSL este obligatoriu pentru orice site web care procesează informații sensibile precum parole, nume, adrese etc.
Mecanismul de lângă scene este următorul: fără un SSL pe site-ul dvs. web, toate datele transferate între browserul web al utilizatorului și serverul dvs. web sunt livrate în text simplu pe care hackerii îl pot citi.
Odată ce instalați un SSL, informațiile sensibile sunt criptate înainte de a fi transferate între cele două părți - browserul web al utilizatorului și serverul dvs., protejându-le de terți cu intenții rău intenționate.
Google a recunoscut importanța unui certificat SSL cu ceva timp în urmă și a început să afișeze pe primele poziții site-uri web care ar putea oferi un transfer criptat de informații.
În plus, în 2018, Google a avertizat toți proprietarii de site-uri web că fiecare site care nu are SSL activ va fi afișat ca „Nesecurizat” în adresa URL. Acest lucru face ca certificatul SSL să fie o necesitate absolută; vestea bună este că este destul de ușor de obținut și, mai mult, la unele companii de găzduire (inclusiv Kualo!) un SSL este inclus gratuit.
De multe ori, atunci când instalați o nouă temă/plugin sau lucrați activ pe site-ul dvs., ceva se poate rupe, așa că este, fără îndoială, o necesitate să aveți o copie de rezervă.
În timp ce majoritatea furnizorilor de găzduire de încredere vor avea acele copii de rezervă setate pentru dvs., nu este o idee rea să învățați cum să le faceți manual sau să utilizați un plugin de rezervă precum UpdraftPlus sau BackupBuddy. Ambele au opțiunea de a încărca copiile de rezervă ale site-ului dvs. în servicii cloud precum Amazon sau de a le exporta local.
De asemenea, puteți utiliza funcția Softaculous Backup, care este ușor accesibilă în cPanelul dvs. Vestea bună este că oferă o simplitate maximă și nu are nicio taxă suplimentară. Vestea proastă este că, spre deosebire de omologii săi, va încărca copiile de rezervă pe contul dvs. de găzduire, deci va folosi spațiu pe disc și este stocat în același loc cu site-ul propriu-zis. Dacă s-ar întâmpla ceva cu contul dvs. (de exemplu, ștergeți fișiere accidental sau o intruziune manuală a unui hacker), copia de rezervă ar putea fi și ea compromisă.
Nu uitați să creați întotdeauna o copie de rezervă dacă intenționați să lucrați la WordPress și nu sunteți sigur de rezultatele finale!
Dacă rulați un site web de comerț electronic cu trafic ridicat, backup-urile pe oră ar putea fi cea mai bună alegere pentru dvs. După cum am menționat anterior, site-urile web care generează o mulțime de comenzi pot suferi pierderi semnificative în cazul în care trebuie să restabilească o copie de rezervă făcută cu câteva ore mai devreme.
Puteți face acest lucru adăugând o bucată de cod în fișierul dvs. wp-config.php:
Puteți face acest lucru deschizând un editor de text precum Notepad și lipiți acest cod:
<Fișiere *.php>
nega de la toti
</Fișiere>
Salvați acest fișier ca .htaccess și încărcați-l în folderele /wp-content/uploads/ de pe site-ul dvs. web folosind un client FTP sau prin Managerul de fișiere din cPanel.
De exemplu, dacă un hacker a vrut să încerce 1000 de parole diferite pe site-urile dvs. web, ar trebui să facă 1000 de încercări separate de autentificare, care vor fi prinse de pluginul dvs. de securitate sau firewall. Cu toate acestea, dacă mențineți XML-RPC activat, un hacker ar putea folosi funcția system.multill și poate încerca 1000 de parole diferite cu 30-60 de solicitări.
De aceea, vă recomandăm insistent să îl dezactivați și o puteți face prin simpla adăugare a unui cod în fișierul dvs. .htaccess:
Pe linia 5 ar trebui să introduceți propriul IP dacă acesta este singurul de la care doriți să păstrați XML-RPC (în caz contrar, ștergeți-l).
Notă: Dacă sunteți unul dintre utilizatorii noștri, nu este nevoie să efectuați acest pas, deoarece XMLRPC va fi protejat de caracteristica Brute Force Protection a LiteSpeed.
O modalitate excelentă de a rezolva acest lucru este să împiedicați roboții abuzivi să obțină acces la WordPress. Introduceți următorul cod în fișierul .htaccess.
Oferiți oricăruia dintre utilizatorii site-ului dvs. cel mai mic acces posibil. Dacă aveți un scriitor de conținut, de exemplu, nu este necesar să îi oferiți un cont de administrator - un utilizator Editor se va descurca bine. Nu vă împărtășiți contul decât dacă este absolut necesar și, dacă o faceți, schimbați-vă parola de îndată ce oricine i-ați dat-o nu mai are nevoie de ea.
Nu împărtășiți detaliile dvs. de găzduire decât dacă este absolut necesar.
Nu utilizați teme și pluginuri WordPress anulate (descărcate ilegal).
La un moment dat, poate deveni o tentație să economisiți niște bani și să descărcați un plugin sau o temă fără licență. În acest caz, veți plăti într-un alt mod - cel mai probabil prin poziționarea unei uși din spate la WordPress. Hackerii ascund adesea linkuri spam sau cod rău intenționat în articolele fără licență și le oferă pentru descărcare gratuită.
Evitați-le cu orice preț și dacă comandați un site web sau o funcționalitate, asigurați-vă că confirmați împreună cu dezvoltatorul că totul este licențiat corespunzător.
Vi se pare greu de urmat vreunul dintre sfaturile oferite? Ne-a ratat ceva important? Trimiteți-ne un ping în comentarii, ne-ar plăcea să vă auzim părerile!
Sau dacă sunteți gata să treceți la găzduirea WordPress super-securizată de la Kualo, verificați planurile noastre aici.
De ce poți întreba?
Să explorăm împreună această întrebare.
De ce este important să vă protejați WordPress?
Ca și alte lucruri legate de siguranță din viață, securitatea site-ului web este un rău necesar. De obicei, atunci când comandați unui dezvoltator sau unei agenții să vă creeze un site web, va apărea subiectul securității. Experții știu direct cât de des sunt piratate site-urile web - în special site-urile WordPress datorită popularității platformei. De obicei, ei vă vor sfătui să vă protejați site-ul web într-o varietate de moduri și vă pot recomanda unele practici de securitate binecunoscute.Mulți oameni ignoră aceste informații, deoarece nu s-au confruntat niciodată cu un site web piratat și, prin urmare, pur și simplu nu își pot imagina bătălia, timpul și efortul pe care îl poate cauza rezolvarea.
În primul rând, dacă conduceți o afacere online, sau cel puțin gestionați o parte din afacerea dvs. prin intermediul site-ului web, un atac de hacker vă va opri inevitabil procesul de lucru. Dacă dețineți un magazin online, nu veți putea vinde; dacă rezervați întâlniri prin intermediul site-ului dvs. web, nu veți putea face acest lucru.
Pentru magazinele online cu volum mare, acest lucru este deosebit de rău - nu numai că nu veți putea vinde pentru o perioadă, dar este posibil să pierdeți și comenzi. Copiile de rezervă ale site-ului sunt de obicei create o dată pe zi, iar dacă sunteți piratat la câteva ore după ce ați terminat, toate comenzile făcute între timp se vor pierde.
Dacă site-ul dvs. este operațional, este posibil să fi avut loc un hack - de exemplu, link-urile pot fi injectate în cod și pot indica alte site-uri web.
Dacă generați bani pe site-ul dvs. prin intermediul reclamelor, puteți înlocui anunțurile cu anunțurile altcuiva (și, prin urmare, afișați anunțuri din care nu veți obține niciun venit).
Există o mulțime de cazuri în care site-ul dvs. poate fi compromis și vă va lua zile, dacă nu săptămâni, să vă dați seama. În scenariul cu injectarea link-urilor spam, acest lucru vă poate afecta SEO (deoarece Google nu-i plac foarte mult link-urile spam). Drept urmare, clasamentele dvs. Google ar putea avea de suferit și vă poate dura mult, mult timp pentru a repara acest tip de daune.
Mai este și problema încrederii clienților; oamenii sunt foarte îngrijorați când aud că un site web pe care îl folosesc a fost piratat.
Utilizarea certificatelor SSL a prevenit cele mai grave consecințe, cum ar fi scurgerile de numere de card de credit, dar unele date pot fi încă obținute. Utilizatorii pot asocia un atac de hacker pe site-ul dvs. cu o securitate slabă și pot decide să înceteze cu totul să vă mai folosească serviciile.
În general, dacă site-ul dvs. este spart, îl puteți repara, dar protejarea WordPress în primul rând este o cale mult mai nedureroasă.
Puteți repara un WordPress piratat?
Dacă nu sunteți familiarizat cu procesul, repararea unui site WordPress piratat poate fi destul de dificilă. Curățarea codului infectat necesită un anumit tip de cunoștințe. Spre deosebire de multe alte probleme tehnice, ar fi dificil să Google o soluție rapidă din cauza naturii variate a atacurilor hackerilor.Dacă a avut loc deja un atac, puteți utiliza un plugin pentru a vă scana site-ul web, dar majoritatea pluginurilor disponibile vor indica doar ce fișiere au fost modificate recent și va trebui totuși să curățați totul manual.
Un alt mod în care puteți încerca să remediați acest lucru este prin restaurarea unei copii de rezervă a site-ului dvs. Aceasta, totuși, nu este o remediere garantată 100%, mai ales dacă nu ești sigur când WordPress a fost piratat (și, prin urmare, ce copie de rezervă este cu siguranță curată).
De asemenea, puteți contacta o agenție specializată care oferă eliminarea programelor malware și asistență tehnică; vor acționa relativ rapid și vor curăța WordPress-ul pentru tine, dar are un cost, desigur.
Trebuie să rețineți că, chiar dacă reușiți să remediați daunele, această situație se poate (și probabil se va întâmpla) din nou dacă nu setați o protecție adecvată.
Cea mai bună soluție aici este să acționați preventiv și să vă securizați site-ul, adoptând o abordare detaliată și cuprinzătoare a protecției.
Dar ce înseamnă asta?
Deci, cum vă protejați site-ul WordPress ? Ce pași acționați puteți lua? Ne bucurăm că ai întrebat! Continua să citești.
Pași acționați pentru a vă proteja site-ul WordPress
1. Alegeți un furnizor bun de găzduire
Înainte de a vă concentra pe orice alți pași de securitate, alegerea unei baze solide pentru site-ul dvs. web este esențială. Lucrul cu un furnizor bun de găzduire care vă poate oferi mai multe straturi de securitate este cel mai simplu mod de a vă proteja site-ul de viitoare atacuri cibernetice. Alegerea unui furnizor de găzduire web este rareori ceva ce oamenii planifică meticulos, mai ales dacă nu au condus afaceri online de ani de zile.Modul în care este de obicei aleasă găzduirea web este printr-o recomandare de la un prieten, prin intermediul agenției care construiește site-ul web sau printr-o cercetare online.
Ceea ce caută adesea utilizatorii fără experiență este cel mai ieftin preț. La fel ca în majoritatea lucrurilor din viață, totuși, găzduirea fiabilă și de înaltă calitate va costa mai mult și, de asemenea, vă va oferi mai mult. Furnizorii de găzduire buni oferă o mulțime de caracteristici de securitate care ar putea însemna diferența dacă trebuie să aveți de-a face cu un site web piratat sau nu.
Pe de altă parte, furnizorii de găzduire low-cost vor tăia colțurile ori de câte ori pot pentru a acoperi diferența și, din păcate, securitatea este un domeniu care suferă foarte mult.
Permiteți-ne să vă oferim un exemplu cu unele dintre funcțiile pe care le punem la dispoziție clienților noștri. Pe lângă opțiunile clasice, cum ar fi protecție DDoS, certificate SSL și firewall-uri pentru aplicații web, avem câteva care vă vor îmbunătăți jocul de securitate al site-ului dvs.
Una dintre ele este Patchman, o aplicație care poate fi extrem de utilă utilizatorilor care nu își actualizează automat WordPress. Patchman vă scanează instalația și remediază orice vulnerabilități cunoscute în fișierele de bază WordPress și numeroase plugin-uri populare. În loc să actualizeze automat software-ul pentru a remedia vulnerabilitatea, care ar putea cauza probleme de dependență de rupere a site-ului, Patchman aplică remedierea de securitate la versiunea instalată în prezent.
Puteți avea deplină încredere că patch-urile aplicate se vor produce în siguranță și fără a vă deteriora site-ul.
Dacă optați pentru găzduire partajată, este imperativ să alegeți găzduire sigură și performantă. Multe companii oferă, de asemenea, găzduire WordPress, care este configurată special pentru WordPress, iar site-ul dvs. va funcționa de obicei mult mai bine pe acesta.
Dacă aveți un site web cu volum mare și alegeți să vă actualizați contul de găzduire, alegeți serverul dedicat complet gestionat care vă va garanta un nivel mai ridicat de securitate, spre deosebire de omologul său mai ieftin (negestionat).
Una peste alta, faceți o cercetare amănunțită despre găzduirea web și nu lăsați prețul să vă ghideze în alegerea dvs.
2. Ține-ți WordPress actualizat
Acesta este probabil primul sfat pe care îl veți auzi de la dezvoltatorul dvs. web - păstrați totul la zi! Mulți proprietari de WordPress ignoră acest lucru ca regulă, fie conștient sau nu, și devin ținta unor atacuri rău intenționate.Motivul pentru care se întâmplă acest lucru se datorează vulnerabilităților descoperite de hackeri. Dacă sunteți interesat să citiți mai multe pe această temă, vă recomandăm acest articol, dar pentru a rezuma, vulnerabilitățile sunt „găuri” în codul aplicației pe care o utilizați. Există o luptă constantă între hackeri și dezvoltatorii de software, unde hackerii găsesc și exploatează vulnerabilitățile de securitate, iar dezvoltatorii caută să le corecteze rapid.
Ca și alte aplicații CMS, WordPress trece prin cicluri de actualizări, în care sunt adăugate noi caracteristici, iar dezvoltatorii lucrează pentru a remedia orice vulnerabilități cunoscute. În fiecare an, există de obicei 1-3 actualizări majore și multe minore, toate fiind critice pentru securitate, deoarece conțin aproape întotdeauna corecții de securitate.
Dar stai - dacă ai ceva de genul Patchman, de ce mai trebuie să actualizezi?
Patchman acoperă fișierele de bază WordPress și unele dintre cele mai populare plugin-uri, dar multe plugin-uri nu sunt corectate prin intermediul aplicației. Acest lucru înseamnă că toate aceste plugin-uri, dacă sunt lăsate învechite, vor deveni cu ușurință un punct de intrare pentru ca hackerii să facă ceea ce doresc pe site-ul tău.
Păstrarea WordPress actualizată este destul de ușoară.
În primul rând, toate versiunile după 5.6 (lansată în decembrie 2020) au actualizări automate activate, ceea ce înseamnă că nu trebuie să faci nimic. Dacă nu este cazul dintr-un anumit motiv (să spunem că dezvoltatorul dvs. le-a dezactivat), există câteva moduri în care vă puteți activa actualizările automate.
Una este prin Softaculous, aplicația folosită adesea de utilizatorii cPanel pentru a instala WordPress pe serverele lor. WordPress Manager de la Softaculous vă permite să configurați upgrade-uri automate; puteți alege să faceți upgrade automat doar pentru actualizări minore sau majore.
În plus, puteți opta pentru actualizarea automată a pluginurilor și temelor. Cel mai bine, va fi nevoie de o copie de rezervă înainte de orice actualizare automată, doar în cazul în care este nevoie să reveniți.
O altă opțiune, dacă sunteți oarecum priceput în a vă modifica codul, este să utilizați configurația nativă a actualizărilor automate a WordPress - aflați mai multe despre aceasta direct în KB WordPress.
3. Alegeți un nume de utilizator și o parolă puternice
Cele mai frecvente încercări de hacking WordPress includ utilizarea detaliilor de conectare furate. Vorbim despre așa-numitul atac Brute Force – un tip eficient și simplu de atacuri cibernetice, în care hackerii lasă computerul să încerce diferite combinații de nume de utilizator și parole până le găsesc pe cele potrivite.Mulți oameni folosesc numele de utilizator „admin”, deoarece acesta apare în mod implicit atunci când folosesc o aplicație software precum Softaculous pentru a vă instala WordPress.
Nu folosiți numele de utilizator implicit , ceea ce facilitează hackerilor - alegeți un alt nume de utilizator, cum ar fi adresa dvs. de e-mail. Dacă vi s-a înmânat un utilizator deja creat cu acest nume de utilizator, creați un nou administrator și ștergeți-l pe cel existent.
Același lucru este valabil și pentru parola dvs. cu cât este mai puternic, cu atât mai bine. Alegeți o parolă lungă care include cifre și caractere speciale sau, și mai bine, generați una aleatorie.
Dacă sunteți îngrijorat că vă veți uita parola, încercați să veniți cu un sistem care să vă ajute să vă amintiți. Unora le place să folosească o combinație statică de caractere + numele site-ului ca diferențiere ( Jack1990Apple!), alții merg pe parole asoziative.
Desigur, puteți pur și simplu să vă salvați detaliile de conectare și să nu vă faceți griji dacă le veți aminti sau nu. Totuși, nu folosiți browserul pentru a vă stoca detaliile de conectare! Aceasta este o opțiune destul de nesigură (și folosită în mod obișnuit).
Dacă doriți să vă stocați detaliile de conectare, astfel încât să nu fie nevoie să le introduceți de fiecare dată, utilizați un manager de parole precum Lastpass - au un plan gratuit, iar detaliile dvs. de conectare vor fi cât mai sigure posibil. Cu managerul de parole, trebuie să vă amintiți doar o parolă (cea principală) și, de asemenea, să stocați detaliile cardului de credit.
4. Limitați încercările de conectare
O altă modalitate de a preveni atacurile cu forță brută (din nou, vor încerca să intre ghicindu-vă detaliile) este prin simpla limitare a numărului de încercări de conectare. Din fericire, acesta este un lucru destul de ușor de făcut; pur și simplu instalați un plugin cum ar fi Loginizer sau, dacă utilizați un plugin de securitate, verificați dacă nu oferă acest lucru ca caracteristică.Clienții serviciului de găzduire partajată de la Kualo sunt, de asemenea, protejați de atacurile de conectare în forță brută în mod automat - cu încercările de forță brută accelerate și blocate.
5. Utilizați 2FA (autentificare cu doi factori)
Autentificarea cu doi factori a devenit oarecum un standard de aur în ultimii doi ani. De fapt, multe site-uri web de renume își vor forța utilizatorii să implementeze 2FA în contul lor ca una dintre cele mai fiabile modalități de a-l proteja. Modul în care funcționează este că va necesita o autentificare suplimentară (de obicei prin telefon) de fiecare dată când vă conectați de pe un dispozitiv care nu este recunoscut.Aceasta înseamnă că, chiar dacă hackerii au detaliile dvs. exacte de conectare, ei nu se vor putea conecta fără acea autentificare suplimentară.
Puteți instala un plugin precum WP 2FA și puteți forța și alți utilizatori de pe site-ul dvs. să îl folosească (mai ales dacă au drepturi de administrator sau editor). Nu uitați să descărcați întotdeauna codurile de rezervă și să le stocați într-o locație sigură, în cazul în care pierdeți accesul la telefon.
6. Schimbați adresa URL a paginii dvs. de conectare
La fel ca și numele de utilizator „admin”, un alt detaliu notoriu al WordPress atunci când vine vorba de accesul de conectare este pagina de conectare. Cel implicit este fie „www.yourwebsite.com/wp-login.php” fie „www.yourwebsite.com/wp-admin”Oricum, dacă o lăsați așa, le va fi mult mai ușor pentru hackeri să identifice intrarea în backend și să înceapă un atac cu forță brută.
Schimbați adresa URL (slug) la pagina dvs. de autentificare utilizând un plugin precum ThemeMyLogin sau căutați un plugin de securitate care să includă mai multe funcții pe care le-am enumerat (2FA, limitarea încercărilor de conectare etc.).
Există, de asemenea, un articol excelent al lui WPBeginner despre cum să vă schimbați manual adresa URL de conectare, dar dacă nu vă simțiți confortabil să gestionați codul, este mai bine să nu mergeți acolo.
7. Instalați un plugin de securitate
La momentul scrierii acestui articol, există peste 50 de milioane de pluginuri disponibile, atât gratuite, cât și plătite. Ar fi păcat să nu profitați de baza mare de pluginuri care vă pot proteja instalația de atacuri rău intenționate.Pe de altă parte, fiecare plugin pe care îl instalați este o altă bucată de cod care trebuie îngrijită (adică actualizată). O multitudine de pluginuri mărește, de asemenea, riscul de incompatibilitate - acesta este momentul în care două sau mai multe plugin-uri nu pot funcționa împreună - așa că trebuie să evitați instalarea de pluginuri fără de care nu puteți.
Unele dintre cele mai bune pluginuri de securitate vor combina mai multe funcții, așa cum am menționat mai sus, reducând astfel numărul de pluginuri pe care va trebui să le instalați pentru a face toate lucrurile despre care vorbim. Câteva exemple grozave sunt:
- Securitate Wordfence - o altă opțiune răspândită, plină de funcții. Excelent pentru utilizatorii cu mai multe site-uri web prin intermediul centrului său Wordfence, pluginul verifică WordPress pentru mai multe riscuri de securitate, cum ar fi cod rău intenționat, injecții de spam și chiar URL-uri proaste
- WP Cerber Security - un plugin grozav care oferă o combinație puternică de opțiuni, dintre care multe sunt recomandate în acest articol. De fapt, acesta este probabil unul dintre pluginurile cu cea mai cuprinzătoare listă de funcții de securitate.
- All in One WP Security - acest plugin este foarte popular printre utilizatorii mai puțin experimentați din punct de vedere tehnic și, de asemenea, nu există o versiune plătită, deci nu există nicio restricție. Va necesita mai multă configurare manuală, dar simplitatea sa asigură o curbă de învățare relativ plată.
8. Instalați un plugin pentru jurnalul de activități
Acesta este un sfat frumos care poate fi util în multe ocazii. Pluginul Jurnal de activitate va înregistra și arăta jurnalele oricărei activități efectuate de diferiți utilizatori pe site-ul dvs. Gândiți-vă la asta ca la un fel de cameră CCTV, urmărind tot ce se întâmplă pe site-ul dvs. (în format text, desigur!)Dacă mai mulți utilizatori cu drepturi de administrator lucrează pe site-ul dvs. web, aceasta este o modalitate excelentă de a păstra o evidență a ceea ce se face.
Din punct de vedere al securității, vă poate arăta diverse informații care pot fi foarte utile - de la încercări eșuate de autentificare până la modificări ale fișierelor și setărilor site-ului WordPress. Dacă sunteți cineva căruia îi place să efectueze propria întreținere a site-ului web, această funcție este o necesitate.
O opțiune grozavă (și gratuită) este jurnalul de activitate WP, un plugin care există de ani de zile și este, de asemenea, cunoscut atât pentru jurnalul detaliat, cât și pentru simplitatea interfeței.
9. Instalați un certificat SSL
Acest lucru ar trebui să fie de la sine înțeles, dar să includem această recomandare pentru a fi în siguranță.Odată, era necesar un SSL pentru site-urile web care trebuiau să fie sigure pentru anumite tranzacții, cum ar fi plăți. În zilele noastre, însă, nu contează dacă procesați sau nu plăți pe site-ul dvs. web. SSL este obligatoriu pentru orice site web care procesează informații sensibile precum parole, nume, adrese etc.
Mecanismul de lângă scene este următorul: fără un SSL pe site-ul dvs. web, toate datele transferate între browserul web al utilizatorului și serverul dvs. web sunt livrate în text simplu pe care hackerii îl pot citi.
Odată ce instalați un SSL, informațiile sensibile sunt criptate înainte de a fi transferate între cele două părți - browserul web al utilizatorului și serverul dvs., protejându-le de terți cu intenții rău intenționate.
Google a recunoscut importanța unui certificat SSL cu ceva timp în urmă și a început să afișeze pe primele poziții site-uri web care ar putea oferi un transfer criptat de informații.
În plus, în 2018, Google a avertizat toți proprietarii de site-uri web că fiecare site care nu are SSL activ va fi afișat ca „Nesecurizat” în adresa URL. Acest lucru face ca certificatul SSL să fie o necesitate absolută; vestea bună este că este destul de ușor de obținut și, mai mult, la unele companii de găzduire (inclusiv Kualo!) un SSL este inclus gratuit.
10. Configurați copii de rezervă
În timp ce backup-urile ar putea să nu funcționeze 100% dacă și când trebuie să remediați o problemă WordPress, ele reprezintă prima ta linie de apărare. O copie de rezervă a site-ului web poate fi utilă nu doar atunci când există un atac de hacker, ci și atunci când există probleme tehnice.De multe ori, atunci când instalați o nouă temă/plugin sau lucrați activ pe site-ul dvs., ceva se poate rupe, așa că este, fără îndoială, o necesitate să aveți o copie de rezervă.
În timp ce majoritatea furnizorilor de găzduire de încredere vor avea acele copii de rezervă setate pentru dvs., nu este o idee rea să învățați cum să le faceți manual sau să utilizați un plugin de rezervă precum UpdraftPlus sau BackupBuddy. Ambele au opțiunea de a încărca copiile de rezervă ale site-ului dvs. în servicii cloud precum Amazon sau de a le exporta local.
De asemenea, puteți utiliza funcția Softaculous Backup, care este ușor accesibilă în cPanelul dvs. Vestea bună este că oferă o simplitate maximă și nu are nicio taxă suplimentară. Vestea proastă este că, spre deosebire de omologii săi, va încărca copiile de rezervă pe contul dvs. de găzduire, deci va folosi spațiu pe disc și este stocat în același loc cu site-ul propriu-zis. Dacă s-ar întâmpla ceva cu contul dvs. (de exemplu, ștergeți fișiere accidental sau o intruziune manuală a unui hacker), copia de rezervă ar putea fi și ea compromisă.
Nu uitați să creați întotdeauna o copie de rezervă dacă intenționați să lucrați la WordPress și nu sunteți sigur de rezultatele finale!
Dacă rulați un site web de comerț electronic cu trafic ridicat, backup-urile pe oră ar putea fi cea mai bună alegere pentru dvs. După cum am menționat anterior, site-urile web care generează o mulțime de comenzi pot suferi pierderi semnificative în cazul în care trebuie să restabilească o copie de rezervă făcută cu câteva ore mai devreme.
Mai mulți pași acționați pentru a vă proteja site-ul WordPress [avansat]
Sfaturile pe care le veți găsi în această secțiune necesită cunoștințe puțin mai avansate în gestionarea WordPress-ului și încredere în scrierea direct în codul său. Dacă nu te simți confortabil să faci acești pași, este indicat să consulți un dezvoltator WordPress care te-ar putea ajuta să-i executi.11. Dezactivați editarea fișierelor
WordPress vine cu un editor de cod încorporat, care vă permite să editați tema și fișierele plugin-uri din panoul de administrare. Dacă persoana greșită obține acces la panoul dvs. de administrare, acesta ar putea fi un risc mare de securitate. De aceea, recomandăm dezactivarea acestei funcții.Puteți face acest lucru adăugând o bucată de cod în fișierul dvs. wp-config.php:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Dezactivați execuția fișierelor PHP pentru directoare WordPress specifice
Adăugați un alt nivel de protecție prin dezactivarea execuției fișierelor PHP în directoare unde nu este necesar. Motivul pentru care doriți să faceți acest lucru este că hackerii folosesc adesea funcția pentru a încărca fișiere de acces backdoor sau malware pe site-ul dvs. WordPress. Acesta este un pas periculos dacă nu știți ce faceți, deoarece site-ul dvs. poate înceta să funcționeze, așa că mergeți cu atenție! Directorul pe care îl căutați este /wp-content/uploads/Puteți face acest lucru deschizând un editor de text precum Notepad și lipiți acest cod:
<Fișiere *.php>
nega de la toti
</Fișiere>
Salvați acest fișier ca .htaccess și încărcați-l în folderele /wp-content/uploads/ de pe site-ul dvs. web folosind un client FTP sau prin Managerul de fișiere din cPanel.
13. Dezactivați XML-RPC
Odată ce XML-RPC a fost folosit pentru a vă conecta site-ul WordPress cu aplicații web și mobile, dar din moment ce WordPress și-a lansat propriul REST API, XML-RPC a devenit o răspundere în loc de o caracteristică utilă.De exemplu, dacă un hacker a vrut să încerce 1000 de parole diferite pe site-urile dvs. web, ar trebui să facă 1000 de încercări separate de autentificare, care vor fi prinse de pluginul dvs. de securitate sau firewall. Cu toate acestea, dacă mențineți XML-RPC activat, un hacker ar putea folosi funcția system.multill și poate încerca 1000 de parole diferite cu 30-60 de solicitări.
De aceea, vă recomandăm insistent să îl dezactivați și o puteți face prin simpla adăugare a unui cod în fișierul dvs. .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>Pe linia 5 ar trebui să introduceți propriul IP dacă acesta este singurul de la care doriți să păstrați XML-RPC (în caz contrar, ștergeți-l).
Notă: Dacă sunteți unul dintre utilizatorii noștri, nu este nevoie să efectuați acest pas, deoarece XMLRPC va fi protejat de caracteristica Brute Force Protection a LiteSpeed.
14. Restricționați accesul roboților
În timp ce site-ul dvs. web va fi întotdeauna accesat cu crawlere de unii roboți, roboții răi pot crea tulburări enervante. Acestea ar putea încetini fluxul de lucru și/sau perturba funcționalitatea site-ului dvs. WordPress, provocând astfel o pierdere de utilizatori.O modalitate excelentă de a rezolva acest lucru este să împiedicați roboții abuzivi să obțină acces la WordPress. Introduceți următorul cod în fișierul .htaccess.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outSfaturi non-tehnice pentru a vă păstra WordPress în siguranță
Utilizați principiul privilegiului minim (POLP)Oferiți oricăruia dintre utilizatorii site-ului dvs. cel mai mic acces posibil. Dacă aveți un scriitor de conținut, de exemplu, nu este necesar să îi oferiți un cont de administrator - un utilizator Editor se va descurca bine. Nu vă împărtășiți contul decât dacă este absolut necesar și, dacă o faceți, schimbați-vă parola de îndată ce oricine i-ați dat-o nu mai are nevoie de ea.
Nu împărtășiți detaliile dvs. de găzduire decât dacă este absolut necesar.
Nu utilizați teme și pluginuri WordPress anulate (descărcate ilegal).
La un moment dat, poate deveni o tentație să economisiți niște bani și să descărcați un plugin sau o temă fără licență. În acest caz, veți plăti într-un alt mod - cel mai probabil prin poziționarea unei uși din spate la WordPress. Hackerii ascund adesea linkuri spam sau cod rău intenționat în articolele fără licență și le oferă pentru descărcare gratuită.
Evitați-le cu orice preț și dacă comandați un site web sau o funcționalitate, asigurați-vă că confirmați împreună cu dezvoltatorul că totul este licențiat corespunzător.
Gânduri finale
Luați în considerare timpul (și fondurile) pe care le veți cheltui pentru a vă asigura WordPress ca o altă investiție critică de afaceri. Repararea unui site web piratat vă va costa considerabil mai mult - în cel mai nefericit caz, ar putea chiar să vă coste afacerea. Urmărirea acestui ghid nu va garanta protecție 100% împotriva atacurilor rău intenționate, dar va reduce semnificativ șansele ca acest lucru să se întâmple.Vi se pare greu de urmat vreunul dintre sfaturile oferite? Ne-a ratat ceva important? Trimiteți-ne un ping în comentarii, ne-ar plăcea să vă auzim părerile!
Sau dacă sunteți gata să treceți la găzduirea WordPress super-securizată de la Kualo, verificați planurile noastre aici.