Îmbunătățirea securității WordPress - Un ghid complet pentru securizarea site-urilor WordPress

Când ați terminat cu această postare, vă voi garanta că site-ul dvs. WordPress va fi imun la hacks și exploatări.

Stai, nu pot garanta asta. Permiteți-mi să spun acest lucru, veți fi echipat cu cunoștințele necesare pentru a vă menține site-ul relativ sigur.

Nu există siguranță la nebunie. Există măsuri specifice pe care le puteți lua pentru a reduce semnificativ șansele ca site-ul dvs. să fie victima unui hack sau a unui atac.

Am scris anterior o mică postare despre cum sunt compromise site-urile web WordPress și de ce ar trebui să investiți în bune practici de securitate. Puteți să-l citiți aici sau vă voi oferi un mic rezumat al vulnerabilităților WordPress înainte de a discuta măsuri specifice pentru a vă îmbunătăți site-ul WordPress.

WordPress are, în sine, puține vulnerabilități și, atunci când sunt descoperite, sunt reparați rapid cu o actualizare. Dar atunci când luați în considerare, practicile de securitate ale gazdei dvs. web sau lipsa acestora și software-ul terță parte care rulează în mod normal pe site-urile web WordPress, site-ul dvs. web va deveni mai probabil victima unui hack din cauza greșelilor altor persoane.

51% din toate site-urile pirate din 2021 au fost compromise de temele sau pluginurile pe care le rulau. 41% au fost exploatați pentru că au ales o gazdă web greșită și, ca urmare, site-urile lor au fost piratate.

Rularea unui site WordPress simplu și păstrarea acestuia în siguranță nu este prea dificilă. Dar când adăugați o combinație de software terță parte și trebuie să vă mențineți domeniul cu gazda potrivită, devine un pic mai dificil.

Am citit o mulțime de postări pe bloguri ale unor antreprenori de succes de pe web care erau în esență bărbați și femei de afaceri care și-au făcut afaceri online. Și când proiectele lor online au avut succes, au devenit ținte. Deși nu este necesar ca site-ul dvs. web să aibă succes sau chiar să aibă un anumit trafic pentru ca acesta să devină o țintă.

Oamenii care piratează site-uri web folosesc instrumente automate care le permit să parcurgă sute și mii de site-uri web pentru vulnerabilități. Site-ul dvs. poate fi unul dintre aceste sute. Deci, chiar dacă site-ul dvs. web nu este popular, ați putea fi în continuare o țintă.

Acum, mulți antreprenori web sunt conștienți de standardele și măsurile de securitate necesare pentru a-și păstra site-urile web și afacerile online în siguranță. Dar cel mai bun lucru despre WordPress și web astăzi este că nu mai trebuie să fii expert în tehnologie sau dezvoltator de web pentru a începe un site web. Și crearea unui site web nu este deloc dificilă, este foarte ușoară și chiar am scris un articol despre el pe Colorlib (pentru cei dintre voi care caută un pic de ajutor atunci când creați primul dvs. site web WordPress).

Crearea unui site web nu este prea dificilă, popularizarea acestuia este o propunere puțin mai complicată. Dar asigurarea securității acestuia, în special pentru antreprenorii web non-pricepuți, a căror preocupare principală se învârte în jurul unui produs / serviciu non-web este destul de dificilă.

Și sigur, ar putea angaja un dezvoltator web pentru a-i ajuta. Dar motivul pentru care există numeroase întreprinderi web la scară mică prosperă, este cu siguranță direct legat de capacitatea lor de a menține costurile mici. Și angajarea unui dezvoltator web care percepe 100 de dolari pe oră, nu se încadrează în capacitățile lor financiare.

Un profesionist în securitatea web este întotdeauna opțiunea preferată, dar, din păcate, nu toată lumea are veniturile necesare pentru a permite această cheltuială. Și poate că e în regulă, poate nu este așa. Faptul crucial este că trebuie să recunoaștem că, chiar și întreprinderile la scară mică, colectează informații personale sensibile, inclusiv lucruri precum adresa dvs. de reședință, datele cardului dvs. de credit, numerele de telefon și ID-urile de e-mail.

Informațiile clientului dvs. nu numai că sunt periculoase din cauza practicilor de securitate neglijente, dar și compania pe care ați construit-o sau va petrece mult timp construind. Construirea unei afaceri online este un efort destul de descurajant, succesul dvs. se bazează pe o serie de factori, care includ reputația mărcii și ceea ce crede Google despre site-ul dvs. web. Și credeți-mă, nimeni nu va avea o viziune favorabilă asupra afacerilor sau serviciilor dvs., dacă site-ul dvs. web se închide sau devine victima unui atac / piratare.

Având în vedere toate acestea și mizele implicate, ce măsuri puteți face „dvs.” ca antreprenor web pentru a vă proteja site-ul web?

Această postare se adresează în principal persoanelor a căror ocupație principală nu conduce o afacere online. Se adresează persoanelor care din diferite domenii ale vieții încep afaceri care se bazează parțial sau puternic pe o prezență online. Și întrucât mai mult de 65% din web este administrat de WP, iar WordPress este CMS de alegere pentru antreprenorul web non-expert, îmi voi concentra eforturile să vă înarmez cu cunoștințele pentru a vă menține site-ul WordPress în siguranță și în siguranță. .

# 1. Alegeți furnizorul potrivit de servicii de gazdă

Cea mai mare parte a vulnerabilităților există din cauza problemelor create la capătul serverului site-ului dvs. web. Am găsit acest fapt destul de uimitor, serviciul dvs. de găzduire fiind potențial cea mai mare sursă a vulnerabilităților site-ului dvs. web.

Și cu o gazdă terță parte nu puteți face multe lucruri pentru a vă proteja site-ul.

Deci, cel mai bun lucru pe care îl puteți face - alegeți furnizorul de servicii de găzduire web potrivit.

Există mult prea mulți furnizori de gazdă web care își rulează sistemele pe software învechit sau software care nu este în prezent întreținut. Problema cu software-ul care nu mai este întreținut este că, deși este posibil să nu fi existat vulnerabilități în trecut, nu există nicio garanție pentru siguranța viitoare. Și dacă este detectată o vulnerabilitate aproape sigură, este posibil să nu mai fie reparată, deoarece echipa de bază nu întreține în mod activ versiuni mai vechi de software.

Când vorbesc despre software, mă refer la orice lucru care rulează pe serverul dvs. pentru a vă menține site-ul live și funcțional.

• Apache
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• Certificate SSL

Chiar dacă și-au actualizat software-ul cu o mică întârziere, atunci când patch-urile software sunt lansate. Fereastra de oportunitate pentru hackeri de a exploata vulnerabilitățile care au fost corecte doar în actualizările recente se lărgește și pune site-ul dvs. în pericol.

Găzduirea partajată, care este alegerea găzduirii pentru majoritatea companiilor online nou create, are câteva probleme,

• Atacurile DOS asupra oricărui IP de pe un server pot afecta toate site-urile găzduite pe acel server.
• Adresele IP partajate reprezintă o mare problemă. Adresele IP care se învecinează cu dvs. afectează site-ul dvs., dacă un IP partajat devine pe lista neagră, site-ul dvs. suferă consecințele.
• Există întotdeauna șansa ca unele programe încărcate pe un server partajat să compromită întregul server, chiar dacă furnizorii de servicii de găzduire partajată iau măsuri pentru a împiedica acest lucru.

Alegerea mea pentru găzduirea partajată,

• Gazduire partajată - SiteGround - Oferă izolarea contului, care vă protejează împotriva site-urilor web de pe același server, care pot fi vulnerabile. Actualizări automate pentru nucleul și pluginurile WP, certificat SSL gratuit și copii de rezervă zilnice pentru Grow Big Plan și în sus, protecție împotriva spamului cu un sistem de filtrare, un firewall, sisteme de prevenire a intruziunilor și monitorizare live. Utilizarea unui sistem CDN precum CloudFlare vă va proteja site-ul împotriva atacurilor DDoS.

SiteGround a avut un istoric bun în ceea ce privește răspunsul rapid și incisiv împotriva vulnerabilităților expuse în trecut. În 2013, când au fost comise atacuri bruteforce de la peste 90.000 de adrese IP SiteGround a împiedicat solicitările să ajungă chiar și la serverele lor.

Atacurile Brute Force pot copleși serverul cu încărcare, dar dacă nu puteți trimite un număr suficient de solicitări către server, nu îl puteți afecta. În timpul atacului au fost făcute peste 15 milioane de încercări în mai puțin de 12 ore împotriva site-urilor web de pe serverele lor și totuși niciunul dintre serverele lor nu a suferit probleme de performanță.

De fapt, după ce unele persoane au forțat brute pe site-urile propriilor clienți să găsească parole slabe, au găsit multe site-uri web pe serverele lor cu parole slabe și nesigure. Au urmat-o prin aplicarea unor parole puternice și clienții lor au fost informați prin poștă. Se pare că le pasă de securitatea lor și de a asigura performanța mediilor lor de server partajate chiar și atunci când sunt atacate. Același lucru nu se poate spune pentru unele dintre cele mai mari companii de găzduire web partajate.

Dacă doriți opțiuni alternative la SiteGround pentru găzduirea partajată, am enumerat destul de multe într-o postare anterioară.

Cu toate acestea, dacă nu doriți să vă preocupați de securitatea WordPress și aproape orice altceva de la distanță tehnic despre crearea, întreținerea și dezvoltarea unui site web, veți fi mai bine cu o gazdă WordPress gestionată. Prefer găzduirea gestionată, dar costurile sunt considerabil mai mari.

Prețul pentru găzduirea gestionată timp de o lună vă va cumpăra și găzduire partajată pentru o perioadă de 8 luni. Dacă conduceți o întreprindere cu numerar, aceasta are un efect foarte monumental asupra sustenabilității afacerii dvs. Dar oricine ar fi un prost să respingă beneficiile unei gazde WordPress gestionate, dacă își permite.

Măsuri de securitate WPEngine-

• Protecție la scriere pe disc, orice cod rău intenționat care creează vulnerabilități care pot fi exploatate este sever limitat de restricțiile de scriere pe disc. Utilizarea pluginurilor și temelor cu vulnerabilități este mai sigură brusc, dat fiind că acestea nu mai pot scrie cod pe serverul dvs. care face WP-ul dvs. vulnerabil la fel de ușor.
• Privilegiile de scriere pe disc pentru utilizatorii conectați la tabloul lor WP se extind la funcții standard, cum ar fi scrierea și editarea postărilor, teme adăugând noi foi de stil și activarea / dezactivarea pluginurilor.
• Pentru a șterge și a scrie fișiere noi trebuie să vă conectați printr-un client SFTP.
• Nu este permisă adăugarea unui cod PHP generic.
• Scripturile cu vulnerabilități cunoscute care compromit WP nu pot fi adăugate la WordPress.
• Anumite pluginuri pot fi interzise și chiar dezactivate, dacă scanerele lor preiau ceva în codul pluginului care lasă site-ul dvs. mai puțin sigur.
• Planurile de bază din WPEngine vor implica în continuare o partajare a serverului. În orice plan dedicat de găzduire, gazda furnizează un întreg server dedicat complet furnizării de resurse doar pentru site-ul dvs. web.
• Backup-uri prin Amazon S3 și nu aveți acces la ele. Nu ați putut compromite copiile de rezervă, chiar dacă ați încercat. O poliță de asigurare pentru site-ul dvs. este întotdeauna în vigoare.
• Accesul fizic la servere este limitat doar la personalul esențial. Centrele lor de date sună ca și cum Fort Knox tocmai citea despre asta.
• Ei sunt specializați în WP și cunosc detaliile și crearea unui site WordPress sigur.
• Recuperarea în cazul unui cont piratat este ușoară și asigurată gratuit.
• Audituri regulate de cod de la furnizorul de soluții de securitate WP - Sucuri.

Gândiți-vă la WPEngine în acest fel, vă costă o bombă, dar vă poate costa mult mai puțin decât un site web piratat. Este mult mai ușoară raționalizarea costurilor.

Vă rugăm să nu treceți cu vederea faptul că site-ul dvs. web nu va fi doar mai sigur cu WPEgnine, ci va fi mult mai rapid, după toate probabilitățile. Chiar și site-urile web precum Colorlib care folosesc un server privat virtual găsesc cu greu viteza unui site web WPEngine.

Dacă aveți încă îndoieli și nu puteți alege între o gazdă web partajată și o gazdă WP gestionată, acesta este un subiect imens în sine. Vă rog să citiți o piesă pe care am scris-o cu ceva timp în urmă. Sperăm că va răspunde la toate întrebările dvs. referitoare la adecvarea unui plan de găzduire pentru site-ul dvs. web.

# 2. Utilizați software terță parte de încredere - Teme și pluginuri premium

Pluginurile și temele sunt întotdeauna suspecte, sunt un sceptic, mai ales atunci când sunt slab întreținute și rareori actualizate. Acum puteți face numeroși pași discriminând pluginurile pe baza defectelor de securitate, dar merită întotdeauna să țineți cont de acțiunile pe care le efectuează pluginurile cu Jurnalul de audit de securitate WP.

Un jurnal de securitate este foarte util dezvoltării web, iar profesioniștii din domeniul securității țin evidența modificărilor pe mai multe site-uri atunci când se ocupă de nevoile clienților lor. Fiecare acțiune a fiecărui utilizator poate fi contabilizată prin intermediul pluginului. Jurnalul ajută, de asemenea, să urmărească pluginurile, temele și alte comportamente ale software-ului terților. Este posibil ca acest plugin să nu împiedice o problemă de securitate, dar dacă ceva nu merge bine, veți găsi mai ușor urmărirea sursei problemei.

O altă practică bună este ca pluginul să fie auditat de un expert în securitate. Dacă nu vă permiteți să faceți asta, căutați ștampilele de încredere ale Sucuri (Sucuri este un furnizor de soluții de securitate pentru utilizatorii WordPress) pe pluginuri. Multe plugin-uri / teme își trimit în mod voluntar produsele pentru audit de cod.

Temele elegante au fost auditate cu tema emblematică Divi. Teme elegante este una dintre cele mai mari, dacă nu chiar cea mai mare casă tematică din nișa WP și totuși au tema lor emblematică auditată pentru probleme de securitate.

Stai departe de pluginurile și temele gratuite care nu au un număr mare de descărcări. Uneori, plugin-urile cu un număr de descărcări extrem de ridicat și evaluări ridicate atrag mult mai mulți factori de răutate. Protecția numerică nu este cu adevărat aplicabilă. Mai mulți oameni care folosesc un plugin îl fac să fie o țintă mai mare, dar în același timp, având mii de utilizatori va ajuta probabil la identificarea și protejarea împotriva exploatărilor de zi zero prin actualizări rapide.

Utilizarea pluginurilor și temelor premium nu înseamnă că siguranța site-ului dvs. poate fi garantată. Dar puteți fi siguri că, dacă se descoperă exploatări de zero zile, răspunsul este în general rapid. Casele tematice și dezvoltatorii de pluginuri se bazează foarte mult pe produsele lor, ultimul lucru pe care îl doresc este apariția vulnerabilității.

Rămâneți la pluginurile listate în directorul WordPress.org pentru pluginuri gratuite. Evaluările mai mari și numărul de descărcări fac din plugin un pariu mai sigur într-o oarecare măsură. Consultați istoricul pluginurilor create de același autor în trecut, un bun indicator al genealogiei programatorului. De asemenea, veți vedea că anumiți autori au grijă suplimentară pentru a asigura securitatea pluginului / temei lor.

Ultima dată actualizată este un alt factor demn de luat în considerare. Asigurarea faptului că cea mai recentă versiune a pluginului este compatibilă cu cea mai recentă versiune de WordPress este un alt punct esențial pentru a bifa pe lista de verificare înainte de a instala și activa un plugin.

Așa cum ați fi putut ghici ce merge pentru pluginuri, de asemenea, pentru teme. Câteva lucruri de reținut, atunci când vine vorba de utilizarea pluginurilor și temelor.

• Pluginurile premium sunt mai bune în sensul respectiv, este posibil ca echipele lor să răspundă la orice vulnerabilitate de securitate mult mai rapid decât pluginurile gratuite.
• Utilizați Jurnalul de audit al securității WP și urmăriți tot ce rulează sub capota site-ului dvs. web.
• Cu siguranță există siguranță în număr, deoarece este mult mai probabil ca o amenințare la adresa securității să fie raportată și tratată. Dar nu pot să nu simt că aceasta este o sabie cu două tăișuri, pluginurile / temele vor avea un număr mare de descărcări, de asemenea, mult mai probabil să devină ținte ale hackerilor.
• Directorul de pluginuri WP.org poate fi manipulat pentru a oferi evaluări excelente pentru pluginuri cu un număr mai mic de descărcări și evaluări.
• Verificați autorul pluginului, istoricul acestora și produsele anterioare. Dacă au avut probleme de securitate în trecut, nu indică neapărat că pluginurile / temele lor sunt rele, dar nu este un semn bun.
• Discriminați nemiloase pluginurile / temele, citiți recenziile, în special cele care oferă evaluări proaste pentru produs (asigurați-vă că examinați motivele pentru care aceste produse au fost slab cotate) pe piețe precum Envato, chiar și pentru pluginurile premium. Citiți secțiunile de comentarii din recenziile produselor pentru pluginuri și teme. Când scriu recenzii despre anumite produse WordPress sau creez o listă de posturi de teme, mă uit întotdeauna la secțiunea de comentarii pentru reclamațiile utilizatorilor care au descărcat / achiziționat produsul. Acest exercițiu este întotdeauna fructuos, veți învăța aproape întotdeauna ceva despre produsul pe care intenționați să îl cumpărați sau să îl descărcați.
• Dacă pluginul / tema a fost auditat de codul lor de către Sucuri sau alt furnizor de soluții de securitate WP de renume, se adaugă la probabilitatea ca produsul să fie destul de solid din punct de vedere al securității.
• Vă puteți proteja împotriva pluginurilor necinstite cu pluginuri de securitate precum Wordfence sau iThemes Security. În plus, puteți utiliza funcția gratuită de scanare a site-ului Sucuri, care caută prin codul dvs. WP scripturile rău intenționate.

Niciunul dintre pașii de mai sus nu garantează că nu veți descărca niciodată un plugin sau o temă proastă, dar reduce șansele de a fi afectat de probleme de securitate.

Acum, presupunând că utilizați gazda, tema și pluginurile potrivite. Voi descrie și explica măsurile de securitate necesare pe care trebuie să le luați pentru a vă asigura securitatea site-ului web.

În timp ce descrieți măsurile individuale de securitate, vă rugăm să rețineți că vă recomand plugin-uri independente concepute pentru aplicații de securitate specifice.

Mai târziu în această postare, voi discuta Wordfence un plugin de securitate freemium complet și, de asemenea, soluțiile de securitate ale lui Sucuri. Trebuie să știți că ambele îndeplinesc aproape toate funcțiile de securitate care ar fi putut fi discutate anterior în postare și mai multe în unele cazuri.

Deci, dacă nu doriți să aflați în detaliu despre măsurile individuale de securitate, puteți trece la ultima parte în care discut funcțiile unui plugin de securitate și al furnizorilor de soluții de securitate precum Sucuri.

Dar dacă sunteți pentru prima dată utilizator de WordPress, vă recomand să citiți întreaga postare pentru a înțelege pe deplin semnificația fiecărei măsuri de securitate diferite.

# 3. Protejați-vă pagina de autentificare

Pagina de autentificare WordPress este o țintă principală pentru atacurile cu forță brută. Pagina dvs. de autentificare este cu siguranță o parte vulnerabilă a site-ului dvs., dacă nu obțineți măsurile de securitate adecvate pentru a împiedica atacatorii.

Voi discuta despre importanța menținerii unei pagini de conectare puternice și sigure cu mai multe măsuri de securitate care fac site-ul dvs. sigur și protejat împotriva atacurilor de forță brută.

Parole puternice și nume de utilizator neobișnuit

Administratorul nu este un nume de utilizator bun. WordPress avea anterior administrator ca nume de utilizator implicit al contului principal de administrator. Cu toate acestea, astăzi, când instalați WordPress, puteți alege un alt nume de utilizator. Dar când oamenii încep, în general, să utilizeze WordPress, mai ales pentru prima dată, mulți continuă să rămână la admin ca nume de utilizator. „Admin” este un nume de utilizator extrem de previzibil și face site-ul dvs. mult mai ușor de intrat.

De asemenea, puteți încerca pluginul Admin Renamer Extended care vă poate schimba numele de utilizator.

Parolele, alegerea unui șir neobișnuit de caractere va ajuta la crearea primei linii de apărare împotriva persoanelor care intenționează să dăuneze site-ului dvs. web sau să obțină informații sensibile stocate pe serverele site-ului dvs.

O listă cu cele mai comune 5 parole, compilate de SpashData.

1. 123456
2. parola
3. 12345
4. 12345678
5. qwerty

Un tânăr de treisprezece ani extrem de motivat poate ghici administratorul și 123456. Cu parole precum cele menționate anterior, site-ul dvs. este o problemă mai ales, dacă primiți trafic decent.

Cele mai bune parole sunt o combinație de litere mari și mici cu punctuație și caractere speciale. De preferință, utilizați ceva care nu are niciun sens și asigurați-vă că are cel puțin mai mult de 10 caractere. Nu există un motiv special pentru 10 caractere, dar amintiți-vă că devine exponențial mai greu să le spargeți, dacă parolele sunt mai lungi.

Dacă parola dvs. nu are niciun sens și nu există un motiv logic sau sentimental în spatele parolei dvs., este evident mult mai greu de ghicit. Amintiți-vă, cum ghicește Sherlock parola mobilă a Irenei Addler - „EU SUNT _ _ _ _ LOCKED”. Ei bine, chiar și Sherlock ar fi dificil să ghicească o parolă care nu poate fi motivată!

Dacă întâmpinați dificultăți în a afla ce parolă să folosiți, încercați instrumente precum Generatorul de parole puternice sau Generatorul de parole securizat, ambele sunt instrumente online disponibile gratuit pentru a afla o parolă bună pentru datele de conectare ale administratorului site-ului dvs. web.

Pluginurile de securitate impun, de asemenea, parole puternice pentru administrator și toți utilizatorii. Acest lucru este important, chiar dacă utilizatorii dvs. nu au statut de administrator și privilegii de însoțire, cineva cu acces la un cont compromis la nivel de editor pe WordPress ar putea face destul de mult răutăți.

Un alt sfat bun de reținut întotdeauna, schimbați-vă frecvent parolele. Dacă vă este greu să vă amintiți toate parolele, utilizați un manager de parole. Puteți încerca One Password, Last Pass, KeePass sau DashLane pentru a vă stoca toate parolele în siguranță.

În ceea ce privește numele de utilizator și parolele, cu cât au mai puțin sens și cu cât sunt mai aleatorii, cu atât mai bună poate oferi securitatea site-ului dvs. web.

Limitați numărul de încercări de conectare

Atacurile cu forță brută vizează paginile de autentificare ale site-urilor web WordPress. Dacă nu știți, majoritatea atacurilor cu forță brută implică încercarea de combinații alfanumerice diferite pentru a sparge parola site-ului pentru un anumit nume de utilizator.

Acum, chiar dacă presupuneți că un atac de forță brută nu reușește, trebuie să recunoașteți faptul că consumă cantități enorme de memorie de server și putere de procesare. Acest lucru va încetini cu siguranță site-ul dvs. web și îl va duce la accesarea cu crawlere. Multe gazde oferă, de asemenea, protecție împotriva atacurilor de forță brută. Acest lucru se datorează faptului că pe un server partajat, site-ul dvs. care consumă o cantitate nejustificată de resurse ar putea afecta pe toată lumea.

Dar cea mai ușoară tehnică pentru a evita atacurile de forță brută este limitarea numărului de încercări de conectare. Dacă cineva nu poate lovi în mod repetat serverul dvs. cu mai multe combinații de nume de utilizator și parole, atunci un atac cu forță brută nu va funcționa.

Blocarea autentificării, soluția de securitate a conectării și protecția pentru conectare la forța brută vizează toate prevenirea accesului la site-ul dvs. web prin încercări de piratare a forței brute. Brute Protect a fost achiziționat de echipa Automattic și face acum parte din Jetpack și oferă protecție împotriva atacurilor de forță brută.

Aproape toate pluginurile de protecție pentru conectare au o interfață similară.

Toate aceste pluginuri funcționează practic urmărind adresele IP care încearcă în mod repetat și nu reușesc să realizeze autentificarea. După mai multe încercări eșuate de conectare, IP-urile particulare sunt împiedicate să acceseze pagina de autentificare a site-ului dvs.

Soluția de securitate a autentificării forțează autentificarea prin e-mail WordPress și modificarea parolei prin e-mail, dacă determină că utilizatorul conectat în prezent este destul de suspect.

Pluginul poate impune parole puternice și poate impune schimbarea frecventă a parolelor pentru utilizatori. De asemenea, încercările de hack sunt urmărite de intervale de IP care încearcă în mod repetat să obțină acces nelegitim, sunt blocate pentru perioade mai lungi de timp pentru a le descuraja de la încercarea de a pătrunde pe site-ul dvs. web.

Autentificare autentificare în doi pași

Autentificarea unei date de conectare adaugă un strat suplimentar de securitate în plus față de o parolă puternică, un nume de utilizator neobișnuit și un număr limitat de încercări nereușite de conectare.

Procesul de autentificare în doi pași face site-ul dvs. mai mult decât sigur dublu. Conectarea la site-ul dvs. WordPress necesită un cod de autentificare care poate fi primit doar printr-un mesaj mobil. Având în vedere acest lucru, este destul de puțin probabil ca telefonul dvs. mobil să fie furat de un hacker în pregătire, site-ul dvs. web va rămâne sigur împotriva forței brute și a altor tehnici de hack care se bazează pe trecerea de pagina de autentificare a site-ului dvs. web.

Google Authenticator este un plugin util care se bazează pe o aplicație instalată pe Android / iPhone / Blackberry, care vă oferă codul de autentificare necesar pentru a vă conecta cu succes pe site-ul dvs. web. Puteți activa această aplicație doar la nivel de privilegiu de administrator sau o puteți utiliza de la un utilizator la altul.

Îmi place mult următorul plugin, intenționează să trimită persoanelor care încearcă să se conecteze fără codul de autentificare la o redirecționare cu o adresă URL personalizabilă. Pagina de conectare Stealth blochează complet roboții.

Dacă un utilizator nu respectă secvența completă de conectare, încercarea de conectare este respinsă. O altă tehnică care poate fi utilizată pentru a bloca roboții este utilizarea captcha pe paginile de autentificare, puteți utiliza Conectare fără Captcha reCaptcha pentru a împiedica conectarea roboților.

Schimbați adresa URL a paginii de autentificare WordPress

Am discutat despre limitarea încercărilor de autentificare, autentificarea autentificărilor și importanța utilizării unei parole puternice și a unui nume de utilizator neobișnuit.

Acum vom ascunde sau modifica pagina de conectare, acest tip de moduri de securitate sunt cunoscute și sub numele de securitate prin obscuritate. Știu că pare cam exagerat. Dar rămâneți cu mine aici, deoarece acest pas nu este mai dificil decât măsurile de securitate sugerate anterior pentru a vă securiza pagina de conectare.

Atacurile cu forță brută sunt eficiente numai dacă pot găsi pagina de autentificare. Dacă lăsați permise neschimbate pentru pagina dvs. de conectare, hackerii vor găsi paginile dvs. de conectare.

Să încercăm să le ascundem pagina de autentificare. Puteți face acest lucru schimbând adresa URL a paginii de autentificare cu WPS Hide Login. Pluginul nu schimbă nimic, pur și simplu interceptează solicitările de pagină și face ca directorul wp-admin și paginile wp-login.php să fie inaccesibile. Va trebui să vă amintiți noua pagină de conectare așa cum a fost setată în timpul activării pluginului.

Opțiunile alternative pentru modificarea adresei URL a paginii dvs. de conectare includ alte două pluginuri, Protejați-vă administratorul și Redenumiți wp-login.php.

SSL

Deși menționez SSL la protejarea paginii dvs. de conectare, SSL este o caracteristică extrem de importantă și necesară a oricărei pagini pe care vă ocupați de informații sensibile. Și acest lucru include aproape fiecare pagină de pe multe site-uri web, văzând ca și cum ar exista formulare de abonament la blog pe toate paginile web.

Dacă dvs. sau vizitatorii / clienții dvs. partajați vreodată informații private sensibile, cum ar fi adrese, detalii despre cardul de credit sau chiar vă partajați ID-urile lor de e-mail. Atunci le datorezi să le protejeze informațiile.

SSL este un strat suplimentar de protecție (Secure Socket Layer) care transformă http în https și, în acest proces, face ca toate informațiile partajate să fie mai sigure.

Acesta este modul în care editez pagina de postare pe care lucrez, pentru Colorlib arată cu SSL. Observați „https:” de culoare verde pe bara URL?

SSL este practic ceva care transformă informațiile dvs. în ceva care nu poate fi citit așa cum facem text simplu. Deci, atunci când informațiile se deplasează între serverele dvs. și orice browser, oricine are acces la acestea nu poate avea niciun sens. Există o cheie privată și o cheie publică. Odată ce SSL face ca informațiile care curg toate să fie amuzante și ilizibile, trebuie să le dăm sens din nou la sfârșitul browserului. Aici intervine cheia privată pentru ca lucrurile să poată fi citite din nou. Mecanismul în joc este foarte asemănător cu blocarea și cheia matematică.

SiteGround, gazda noastră comună recomandată oferă protecție SSL gratuit. De asemenea, puteți cumpăra un certificat SSL de la o autoritate de certificare. Dacă rulați pluginuri de securitate precum Wordfence, SSL poate fi activat.

Aș recomanda SSL la nivel de site, multe site-uri WordPress ColorLib incluse folosesc SSL la nivel de site. Dacă nu este SSL la nivel de site, ar trebui să forțați cu siguranță SSL pentru paginile de autentificare la minimum.

Browsere precum Chrome blochează chiar și accesul la site-urile web cu certificate greșite / expirate pe SSL-uri.

Este posibil să trebuiască să vă dați seama dacă CDN-ul dvs. oferă conținut cu ușurință prin SSL și, uneori, rețelele publicitare pot prezenta probleme la difuzarea prin SSL. Adăugarea la nivel de site SSL poate prezenta dificultăți semnificative, ar trebui să citiți acest articol foarte perspicace despre dificultățile de a activa SSL la nivel de site.

Google vă oferă un mic impuls (1%) în clasamentul dvs. de căutare, dacă utilizați SSL pe site-urile dvs. web. Acest fapt, în sine, ar trebui să justifice utilizarea SSL. De ce ? Google înțelege, așa cum fac majoritatea profesioniștilor în dezvoltare web, importanța asigurării securității datelor cititorului / vizitatorului dvs.

SSL poate fi aplicat și pe ecranul dvs. de conectare prin pluginul de securitate Wordfence. De asemenea, este de așteptat ca certificatele de securitate să fie puse la dispoziție gratuit în 2015.

Citiți mai multe despre administrarea prin SSL pe WordPress.org.

# 4. Protejarea nucleului WP, baza de date și utilizarea permisiunilor de fișiere corecte

În multe dintre aceste măsuri de securitate, vă vom modifica nucleul WP și va trebui să vă familiarizați cu modul de utilizare și cu clientul FTP pentru a face modificări și a-l încărca. Și, deoarece majoritatea acestor sfaturi de securitate implică modificarea sau modificarea nucleului WP, s-ar putea să vă spargă site-ul web. Faceți o copie de rezervă a nucleului WordPress și a conținutului său înainte de a continua, o greșeală poate fi anulată cu ușurință cu o copie de rezervă.

Cheile de securitate WordPress

WordPress folosește cookie-uri pentru a identifica și a verifica utilizatorii care sunt conectați pentru a comenta și a face modificări de la tabloul WP.

Aceste cookie-uri conțin informații de autentificare și detaliile dvs. de autentificare. Parola este eliminată, ceea ce înseamnă că se aplică o formulă matematică pentru ao face ilizibilă și nu poate fi citită fără a mai aplica matematica o dată pentru a o face lizibilă.

Putem adăuga un strat suplimentar de protecție în jurul acestui cookie cu cheile de securitate WP. Acestea sunt un set de variabile aleatorii care îmbunătățesc securitatea informațiilor stocate pe un cookie de utilizator. Există 4 chei și anume, AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY și NONCE_KEY.

O parolă necriptată, cum ar fi WordPress sau 12345, poate fi ușor spartă, dacă cineva poate reconstrui cookie-ul de autentificare. Dar criptarea cu cheile de securitate WP face acest lucru mult mai greu.

Cum adăugați chei de securitate WP?

1. Deschideți fișierul wp-config.php.
2. Căutați „chei și săruri unice de autentificare”.
3. Utilizați un instrument de generare automată de chei online.
4. Copiați cheile din instrumentul online și înlocuiți setul de chei existent, suprascriindu-l în wp-config.php.
5. Salvați-l.
6. Puteți repeta același proces în fiecare lună sau cam așa ceva.

Amintiți-vă, de fiecare dată când modificați cheile de securitate, utilizatorii vor fi deconectați și vor trebui să se conecteze din nou în conturile lor.

iThemes Security oferă instrumentele necesare pentru a face acest lucru din tabloul WP. Și, de asemenea, vă vor trimite un memento în fiecare lună pentru a vă schimba cheile de securitate.

Protejați-vă prin parolă directoarele WP

Acest lucru se poate face din cPanel sau din tabloul de bord al oricărei gazde web. În cPanel, deschideți Securitate> Directoare de protecție prin parolă. Veți găsi o listă cu toate folderele de pe site-ul dvs. Începeți cu un folder important, cum ar fi wp-admin.

Veți găsi o casetă de dialog care vă solicită să creați un utilizator furnizând un nume de utilizator și o parolă. Acum creați noul utilizator. După aceasta, dacă trebuie să accesați folderul wp-admin de pe site-ul dvs. web, numele de utilizator și parola trebuie introduse pentru a accesa site-ul web.

Acest lucru adaugă un strat suplimentar de protecție bazată pe parolă la cele mai importante părți ale site-ului dvs. web.

Utilizați FTP securizat (SFTP)

Este necesar un sistem de transfer de fișiere pentru a transporta datele site-ului dvs. către gazda dvs. web atunci când adăugați modificări noi pe care doriți să le încorporați. Cu un protocol normal de transfer de fișiere sau un FTP, șansele ca cineva să intercepteze și să găsească vulnerabilități pentru a exploata site-ul dvs. web cresc.

Veți avea nevoie de clientul potrivit pentru a utiliza o conexiune SFTP pentru a încărca fișiere noi și cod modificat. Puteți utiliza FileZilla pentru a vă ajuta să începeți.

În plus, veți avea nevoie de câteva detalii specifice despre contul dvs. de găzduire web. În general, fiecare gazdă va furniza informații specifice pentru a vă ajuta să configurați un protocol sigur de transfer de fișiere. În mod normal, veți avea o cheie SSH generată de gazdă, această cheie trebuie adăugată clientului dvs. SFTP, cum ar fi FileZilla și este simplu să configurați o conexiune sigură pentru transferul de fișiere de acolo înainte.

Utilizarea permisiunilor de fișiere corecte

Accesul la fișierele dvs. trebuie să aibă permisiunile corecte. Este posibil să scrieți pe WordPress de pe serverul web. Problema apare atunci când partajați acel mediu cu mai multe site-uri web care pot avea și site-urile lor pe un server partajat.

În general, folderele și fișierele WordPress au permisiuni specifice pentru diferite gazde. Cu acces la shell puteți rula la următoarele două comenzi pentru a vă păstra folderele și fișierele WordPress în siguranță și accesibile numai utilizatorului corect.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. De ce ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

# 5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• Securitate și firewall WP All In One

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

# 6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter ('auto_update_theme', '__return_true');

Dacă nu vă place să jucați codul, puteți utiliza un plugin pentru a vă ajuta. Aveți o altă opțiune sub forma unui plugin, atunci când vine vorba de asigurarea actualizării fără probleme a WP-ului dvs. și a tuturor temelor / pluginurilor de pe site-ul dvs. Actualizările automate avansate vă permit să activați individual actualizările majore și actualizările minore / de securitate. Și pluginul oferă, de asemenea, soluții de actualizare automată pentru teme și pluginuri.

Pentru soluții de actualizare multisite, dacă aveți nevoie de ajutor pentru gestionarea actualizărilor cu pluginuri și teme WordPress, puteți încerca Easy Updates Manager. Există, de asemenea, un serviciu premium oferit de WP Updates, care oferă soluții de actualizare automată pentru pluginuri și teme premium.

Utilizarea de pluginuri precum ManageWP sau o gazdă WP gestionată precum WPEngine va ajuta, de asemenea, la rezolvarea problemelor legate de actualizarea WordPress și a software-ului terță parte pe care îl utilizați pe site-ul dvs. web.

Actualizarea nucleului WordPress devine automat problematică când lucrurile încep să se defecteze. Acest lucru se poate întâmpla fie din cauza codului personalizat care este șters în timpul unei actualizări, fie a problemelor de compatibilitate care apar cu software-ul terților (pluginuri și teme). Acesta este unul dintre motivele care vă pot oferi o pauză, poate că este mai bine să activați actualizări minore.

Dacă aveți probleme cu actualizările automate WordPress, atunci vă recomand să încercați Background Update Tester. Pluginul verifică și explică orice problemă de compatibilitate.

Rulați întotdeauna o copie de rezervă înainte de actualizare. Mereu! Acest lucru pentru a vă proteja site-ul web împotriva lucrurilor care se întâmplă oribil de greșit, caz în care ajungeți să faceți o mizerie pe site-ul dvs. web. O practică bună de urmat, pentru a vă proteja împotriva actualizărilor automate care provoacă ravagii prin probleme de compatibilitate cu plugin-uri, teme și uneori cod personalizat pe nucleul WP.

# 7. Câteva lucruri mai multe despre securitatea WP - firewall-uri, jurnale de audit și scanere malware

Nu am discutat firewall-uri pentru WordPress. Un firewall bun va realiza foarte mult și va atenua cele mai frecvente forme de atac pe site-urile dvs. web.

• Atenuează efectele unui atac DDoS.
• Atacurile de forță brută sunt oprite moarte în urmele lor.
• Protejați-vă împotriva vulnerabilităților software.
• Oprește atacurile de injectare a codului, cum ar fi atacurile SQL sau XSS.
• Patch up și apărați împotriva vulnerabilităților de zero zile.

Doar pentru a ilustra, iată un instantaneu al ceea ce face firewall-ul Sucuri pentru un site web WordPress.

Firewall nu este termenul pe care Sucuri îl folosește pentru a-și descrie sistemul de protecție, ci se referă la acesta ca CloudProxy, care este o combinație între un firewall pentru aplicații web și un sistem de detectare a intruziunilor. Tot traficul rău intenționat este filtrat și activitatea anormală este monitorizată.

Firewall-urile au fost în mod tradițional dezvoltate pentru a monitoriza conexiunile, cu toate acestea CloudProxy-ul lui Sucuri nu numai că îi va ține pe cei răi, ci va crea și patch-uri virtuale împotriva vulnerabilităților. Odată ce o cerere a unui vizitator trece prin firewall, aceasta ajunge la sistemul de prevenire și detectare a intruziunilor, unde sistemul trece prin cererile pentru posibile modele de atac.

Cred că funcția de corecție virtuală pentru a vă proteja împotriva vulnerabilităților este un atu extrem de eficient și de neprețuit pentru orice site web cu prea multă personalizare (înseamnă că multe se pot strică atunci când apar probleme de compatibilitate). Este întotdeauna mai bine să aplicați actualizarea la WordPress într-o zonă intermediară și să verificați dacă site-ul dvs. funcționează fără probleme. Și dacă o face, puteți lua live versiunea actualizată a site-ului dvs. Dar, între timp, site-ul dvs. web este cu adevărat în pericol. Protejarea împotriva exploatărilor de zero zile este posibilă numai prin actualizări pentru remedierea vulnerabilităților, totuși acest lucru nu trebuie să fie cazul în timpul utilizării Sucuri CloudProxy.

Și, în afară de aceasta, ei păstrează, de asemenea, jurnale ale tuturor activităților de pe site-ul dvs. web și caută posibile semne de răutate.

Gândiți-vă la firewall ca la o ultimă măsură, este peretele pe care un hacker trebuie să îl încalce pentru a accesa conținutul sensibil al site-ului dvs. web. Bunele practici, în mare parte, sunt concepute astfel încât să nu mai aveți nevoie de firewall la fel de mult.

Software-ul de scanare malware sau site-uri web, cum ar fi Sucuri SiteCheck, pot scana site-urile dvs. web pentru vulnerabilități și eventuale lacune de securitate. Pluginurile de securitate au, de asemenea, software-ul de scanare malware pentru a urmări orice modificări care par anormale și sunt surse de potențiale probleme de securitate.

De asemenea, menționasem anterior Jurnalul de audit al securității WP, afirmând în același timp că este un plugin necesar pentru a urmări toate modificările de pe site-ul dvs. web. Aș dori să reiterez acest punct, este un plugin extrem de util nu doar pentru a urmări modificările efectuate de teme și pluginuri, ci și pentru acțiunile altor utilizatori. Este foarte important să utilizați Jurnalul de audit al securității WP sau să rulați un alt plugin de înregistrare a datelor pentru a urmări toate modificările.

Logarea este, de asemenea, o caracteristică cheie a sistemului de protecție al lui Sucuri. În ciuda încercărilor lor zeloase de a asigura securitatea, uneori se întâmplă lucruri rele și site-urile web sunt piratate. Când se întâmplă acest lucru, sistemul lor de înregistrare este foarte util pentru a ajuta la scoaterea site-urilor web dintr-un șanț.

Firewall-urile, scanerele malware și jurnalele de audit sunt foarte la îndemână împotriva amenințărilor care nu pot fi prezise și a exploatărilor de zero zile. Nu sunt înlocuitori de bune practici de securitate WordPress.

# 8. Ascunderea versiunii dvs. WordPress - Este necesar?

Am citit pe câteva site-uri web că ascunderea versiunii dvs. WordPress va spori securitatea împotriva hackerilor rău intenționați. Problema este că există o presupunere că cunoașterea vulnerabilităților asociate unui anumit WordPress face mai probabil ca cineva să le exploateze. Acest lucru nu este neapărat adevărat. În general, persoanele care fură informații de pe site-uri web folosesc instrumente automate pentru a scana site-urile web pentru identificarea vulnerabilităților cunoscute. Și dacă versiunea dvs. WordPress este vulnerabilă, atunci o vor ști. Nu este ca și cum hackerii verifică câte un site pe rând și le sortează după versiunea WordPress.

După cum sa menționat anterior, actualizați-vă WordPress, temele și pluginurile cât mai curând posibil. Hackerii nu fac discriminări între site-urile care afișează versiunea WordPress și site-urile web care nu.

În eventualitatea puțin probabilă, în care un hacker vizitează manual fiecare site web și verifică versiunea WordPress și apoi încearcă să găsească vulnerabilități, s-ar putea să vă fie util să vă ascundeți versiunea WordPress.

Utilizați Remove Version Plugin pentru a elimina versiunea dvs. WordPress. Dacă acest lucru nu funcționează pentru dvs., va trebui să faceți câteva modificări minore, iar această postare de blog ar trebui să vă ajute.

# 9. Back Up - Ultima linie de securitate a site-ului web

Ar trebui să fiți întotdeauna pregătiți pentru eventualitatea ca site-ul dvs. WordPress, în ciuda tuturor măsurilor dvs. de securitate, să fie compromis. Dacă se întâmplă acest lucru, trebuie să interveniți și să remediați lucrurile. Acum există mai multe moduri în care poate fi realizată recuperarea site-ului. Copiile de rezervă cu restaurări cu un singur clic sunt o soluție ușoară pentru un site web compromis, presupunând că lacuna de securitate sau vulnerabilitatea au fost deja remediate.

Copiile de rezervă automate sunt o parte necesară și esențială a arsenalului de securitate al fiecărui site web WordPress. Gândiți-vă la pluginurile de securitate ca la sabia dvs. și la copiile de rezervă ca la scutul dvs. În cazul în care infracțiunea ta eșuează, scutul tău în acest caz copiile de rezervă devine ultima ta linie de apărare.

Amintiți-vă, presupun că doar WordPress dvs. este compromis și nu serverul dvs., care este o pungă complet diferită de viermi. Dar majoritatea furnizorilor de servicii de găzduire au o echipă puternică de securitate care își protejează serverele împotriva elementelor rău intenționate în mod constant și mai ales în timpul atacurilor globale. Am scris o postare cu câteva săptămâni în urmă, despre diferiții furnizori de servicii de găzduire partajată, dacă sunteți interesat.

Copii de rezervă - Dacă decideți că doriți un plugin gratuit fără a plăti un ban pentru serviciile de backup, aș spune că puteți începe cu Updraft Plus, care este un plugin freemium.

Cu acest plugin puteți face backup și salva o copie a site-ului dvs. web pe spațiul de stocare oferit de o serie de servicii diferite. Include Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP și SFTP și e-mail. De asemenea, ar trebui să rețineți că pluginul gratuit permite backup-ul numai în orice locație. Veți avea nevoie de o adăugare premium, dacă doriți să utilizați pluginul pentru a vă salva site-ul web în mai multe locuri.

Acest plugin, la fel ca majoritatea furnizorilor de copii de rezervă WordPress, salvează totul, inclusiv conținutul, temele și setările pluginurilor și poate rula, de asemenea, o copie de rezervă a bazei de date WordPress, separată de copiile de rezervă normale.

Dacă doriți să utilizați un serviciu premium de backup WordPress, vă recomand să aruncați o privire la BackUp Buddy, VaultPress sau BlogVault (am lucrat cu ei în trecut și au un serviciu extraordinar).

Păstrați la dispoziție mai multe copii ale site-ului dvs. web și aveți întotdeauna una pe o unitate fizică care nu depinde de o conexiune la internet. Backupurile sunt o idee bună chiar și din punct de vedere non-securitar. Când experimentați teme și pluginuri, când actualizați teme, pluginuri sau WordPress, există întotdeauna posibilitatea ca o problemă de compatibilitate să apară și să vă rupă site-ul web.

Și din experiența mea cu copiile de rezervă automate, trebuie să ștergeți în continuare copiile copiilor de rezervă într-un mod compatibil cu frecvența cu care continuați să adăugați conținut nou și să faceți în continuare copii de rezervă.

Când vine vorba de computerul meu, prefer întotdeauna soluțiile de backup care oferă backup-uri incrementale / diferențiale, în loc de backup-uri complete, dar rețineți că, odată cu reconstituirea anterioară pentru restaurare, este nevoie de mai mult timp. Același lucru se aplică cu siguranță unui sistem de backup WordPress. Deși, cu excepția cazului în care furnizorul dvs. de rezervă percepe taxe suplimentare cu restricții stricte privind limitele de stocare a datelor, nu ar trebui să vă faceți griji.

Concluzie

Nu mă pot abține, acest citat din seria Harry Potter pare atât de potrivit.

„Vigilență constantă!” - Mad-Eye-Moody

Moody este un vrăjitor întunecat din serie, dacă te întrebi.

După cum am menționat deja, nu există securitate completă pe web. Puteți lua numeroase măsuri de securitate și vă puteți pirata site-ul web. Dar asigurându-vă că site-ul dvs. web rulează pe SSL, că paginile dvs. de conectare sunt întărite, parolele și numele de utilizator sunt remarcabil de necunoscute, site-ul dvs. web este complet actualizat și protejat împotriva amenințărilor cunoscute și este complet copiat în fiecare zi, îmbunătățește foarte mult șansele în favoarea dvs. .

Dacă doriți un hack complet / exploatare WordPress gratuită, respectarea tuturor măsurilor de securitate menționate mai sus vă va asigura că site-ul dvs. web are securitate etanșă. Dar chiar și atunci, nu vă puteți proteja împotriva exploatărilor de la zero zile sau a unui hacker inteligent care se hotărăște să vă rupă site-ul, deși acesta este un eveniment foarte puțin probabil.

Gândiți-vă în acest fel. Dacă site-ul meu este piratat, cât de multe afaceri și venituri voi pierde? Voi pune în pericol informațiile clienților mei? Mă va face responsabil pentru procese? Când ajungeți la punctul în care vedeți că costurile legate de piratarea site-ului dvs. web sunt rezonabile, atunci vă sugerez să folosiți fie un serviciu de găzduire WordPress gestionat, fie un bouncer web foarte mare sub forma serviciilor de securitate ale lui Sucuri.

Site-ul dvs. web nu trebuie neapărat să fie popular pentru a deveni o țintă. Și nu va deveni niciodată un site cu trafic intens, dacă va fi continuu victimă a hacks și atacuri.

Așa cum am spus anterior despre găzduire. Dacă sunteți în mod rezonabil sigur de capacitatea dvs. de a crea un site web care generează venituri, care va plăti costurile celor mai bune servicii de găzduire / securitate, atunci mergeți cu cele mai bune. Dacă vă puteți permite cele mai bune servicii de găzduire web / securitate, va merita pe termen lung, presupunând că nu sunteți dezvoltator web de profesie.

Dacă nu vă puteți permite cea mai bună gestionare a găzduirii web sau securitate de top, atunci puneți în aplicare măsurile de securitate menționate anterior. Șansele sunt, site-ul dvs. web va fi în siguranță.

Dacă aveți câteva informații suplimentare despre securitatea WordPress sau aveți idei diferite despre cum să vă protejați site-ul WordPress, mi-ar plăcea să vă aud ideile în comentariile de mai jos. Noroc