Sfaturi de protecție pentru WordPress. 12 sfaturi pentru a vă proteja site-ul
Publicat: 2019-07-11WordPress este unul dintre cele mai populare CMS din lume. Mai mult de 18,9% din toate site-urile de Internet îl folosesc, iar numărul de instalări a depășit 76,5 milioane. Din păcate, o astfel de popularitate are dezavantajele ei. Potrivit raportului Sucuri (securitate și protecție a site-ului web), WordPress este cel mai hackabil CMS din lume. Cu toate acestea, dacă urmați cele mai bune practici în această problemă și implementați câteva tehnici din acest ghid, vă veți da seama că protecția WordPress poate fi întărită cu ușurință prin câțiva pași simpli.
Ce vei avea nevoie
Înainte de a începe, verificați următoarele:
- acces la panoul de control WordPress;
- Accesul la contul dvs. de găzduire (opțional).
Conţinut
Pasul 1. Menținerea versiunii curente de WordPress;
Pasul 2. Utilizarea acreditărilor de conectare non-standard;
Pasul 3. Activarea autentificării în doi pași;
Pasul 4. Dezactivarea rapoartelor de eroare PHP;
Pasul 5. Nu folosiți șabloane nulle pentru WordPress;
Pasul 6. Scanarea WordPress pentru malware;
Pasul 7. Transferarea site-ului dvs. pe o găzduire mai sigură;
Pasul 8. Faceți copii de siguranță ale datelor dvs. cât mai des posibil;
Pasul 9. Dezactivarea opțiunii de editare a fișierelor;
Pasul 10. Ștergerea șabloanelor și pluginurilor neutilizate;
Pasul 11. Utilizarea .htaccess pentru a îmbunătăți securitatea WordPress;
Pasul 12. Modificarea prefixelor standard ale bazei de date WordPress pentru a preveni injectarea SQL Concluzie
Pasul 1. Menținerea versiunii actuale de WordPress
Acesta va fi primul și cel mai important pas pentru îmbunătățirea securității WordPress. Dacă aveți nevoie de un site web curat, fără malware, trebuie să vă asigurați că versiunea WordPress este actualizată. Acest sfat poate părea simplu, dar numai 22% din toate instalările WordPress sunt în cea mai recentă versiune.
WordPress a implementat caracteristica de actualizare automată în versiunea 3.7, dar funcționează doar pentru actualizări de securitate mici. În timp ce actualizările cheie mari trebuie instalate manual.
În cazul în care nu știți cum să actualizați WordPress, verificați acest lucru.
Pasul 2. Utilizarea acreditărilor de conectare non-standard
Folosiți „admin” ca nume de administrator în WordPress? Dacă răspunsul este „da”, atunci reduceți serios securitatea WordPress și facilitați accesul la panoul de control. Este foarte recomandat să schimbați numele de utilizator al administratorului cu altceva (consultați acest tutorial dacă nu sunteți sigur cum să faceți acest lucru) sau să creați un nou cont de administrator cu date diferite.
Urmați acești pași dacă preferați a doua opțiune:
- Conectați-vă la panoul de control WordPress;
- Găsiți secțiunea „Utilizatori” și faceți clic pe butonul „Adăugați nou”;
- Creați un nou utilizator și atribuiți drepturi de administrator;
- Conectați-vă la WordPress cu noile dvs. date;
- Reveniți la secțiunea Utilizatori și ștergeți contul de administrator implicit.
O parolă bună joacă un rol cheie în securitatea WordPress. Este mult mai greu să spargi o parolă formată din cifre, litere mari și mici și simboluri speciale. Instrumente precum LastPass și 1Password vă pot ajuta să creați și să gestionați parole complexe. În plus, dacă trebuie vreodată să vă conectați la panoul de control WordPress atunci când vă conectați la o rețea nesigură (de exemplu, cafenele, biblioteci publice etc.), nu uitați să utilizați un VPN securizat care vă protejează informațiile de conectare.
Pasul 3. Activarea autentificării în doi pași
Autentificarea în doi pași adaugă un nivel suplimentar de securitate paginii dvs. de autorizare. Odată ce numele de utilizator este confirmat, se adaugă un alt pas pe care trebuie să-l parcurgeți pentru a vă autentifica cu succes. Cel mai probabil îl utilizați deja pentru a vă accesa e-mailul, banca online și alte conturi care conțin informații confidențiale. De ce să nu-l folosești și în WordPress?
Deși acest lucru poate părea complicat, activarea autentificării în doi pași în WordPress este foarte ușoară. Tot ce trebuie să faceți este să instalați o aplicație pentru autentificare în doi pași și să o configurați pentru WordPress. Puteți găsi informații mai detaliate despre cum să activați autentificarea în doi pași pe WordPress aici.
Pasul 4. Dezactivarea rapoartelor de eroare PHP
Rapoartele de eroare PHP pot fi destul de utile dacă dezvoltați un site web și doriți să vă asigurați că totul funcționează corect. Cu toate acestea, afișarea erorilor tuturor este o omisiune gravă în securitatea WordPress.
Ar trebui să remediați acest lucru cât mai curând posibil. Nu vă faceți griji, nu trebuie să fiți programator pentru a dezactiva rapoartele de eroare PHP pe WordPress. Majoritatea furnizorilor de servicii de găzduire oferă această opțiune în panoul de control. Dacă nu, adăugați pur și simplu următoarele linii în fișierul wp-config.php. Puteți utiliza clientul FTP sau File Manager pentru a edita fișierul wp-config.php.
raportare_erori(0);
@ini_set('display_errors', 0);
Pasul 5. Nu utilizați șabloane anulate pentru WordPress
Amintiți-vă, „singura brânză gratuită este în capcana pentru șoareci”. Același lucru este valabil și pentru șabloanele și pluginurile anulate.
Există mii de plugin-uri și șabloane anulate pe tot Internetul. Utilizatorii le pot descărca gratuit, folosind diferite fișiere de partajare sau torrent. Ei nu știu că cei mai mulți dintre ei sunt infectați cu malware sau link-uri către metode de optimizare pentru motoarele de căutare negre.
Nu mai utilizați pluginuri și șabloane anulate. Nu numai că este lipsit de etică, dar dăunează și securității WordPress. În cele din urmă, veți plăti mai mult unui dezvoltator pentru a vă curăța site-ul.
Pasul 6. Scanarea WordPress pentru malware
Hackerii folosesc adesea găuri în șabloane sau pluginuri pentru a infecta WordPress. Prin urmare, este important să vă verificați blogul mai des. Există multe plugin-uri bine scrise disponibile în acest scop. WordFence iese în evidență din mulțime. Oferă un ghid de utilizare și abilitatea de a testa automat, împreună cu o grămadă de alte setări diferite. Puteți chiar să recuperați fișierele modificate/infectate în câteva clicuri. Este disponibil gratuit. Aceste fapte ar trebui să fie suficiente pentru a-l instala chiar acum.
Alte plugin-uri populare pentru a spori securitatea WordPress:
- Securitate BulletProof . Spre deosebire de WordFence, despre care am vorbit mai devreme, BulletProof nu vă scanează fișierele, ci vă oferă un firewall, protecție pentru baze de date etc. O caracteristică distinctivă este capacitatea de a configura și instala pluginul în câteva clicuri.
- Sucuri Security . Acest plugin vă protejează de atacurile DDOS, are o listă neagră, vă scanează site-ul web pentru malware și vă controlează firewall-ul. Dacă găsește ceva, vei fi anunțat prin e-mail. Google, Norton, McAfee – acest plugin include toate listele negre din aceste programe.
Pasul 7. Transferarea site-ului dvs. la o găzduire mai sigură
Acest sfat poate părea ciudat, dar statisticile arată că mai mult de 40% dintre site-urile WordPress au fost sparte din cauza găurilor de securitate din conturile lor de găzduire. Aceste statistici ar trebui să vă încurajeze să mutați WordPress la găzduire mai sigură. Câteva fapte cheie de reținut atunci când alegeți o nouă găzduire:
- Dacă este găzduire partajată, asigurați-vă că contul dvs. este izolat de alți utilizatori și că nu există riscul de infectare de la alte site-uri web de pe server.
- Găzduirea are o funcție de backup automată;
- Serverul are un firewall terță parte și un instrument de scanare.
Pasul 8. Faceți o copie de rezervă a datelor cât mai des posibil
Chiar și cele mai mari site-uri web sunt sparte în fiecare zi, în ciuda faptului că proprietarii lor cheltuiesc mii pentru a îmbunătăți securitatea WordPress.
Chiar dacă urmați cele mai bune practici în acest domeniu și ați aplicat sfaturile din acest articol, trebuie totuși să faceți copii de rezervă regulate ale site-ului dvs.
Există mai multe modalități de a crea o copie de rezervă, de exemplu, puteți descărca manual fișierele site-ului și exporta baza de date sau puteți utiliza instrumentele oferite de compania dvs. de găzduire. O altă modalitate este să utilizați pluginuri WordPress. Cele mai populare dintre ele sunt:
- VaultPress;
- BackUpWordPress;
- BackupGuard.
Puteți chiar să automatizați procesul de creare și stocare a backup-urilor WordPress în Dropbox.
Pasul 9. Dezactivarea opțiunii de editare a fișierelor
După cum probabil știți, WordPress are un editor încorporat care vă permite să editați fișiere PHP. Această caracteristică este pe atât de utilă, pe atât de probabil să fie dăunătoare. Dacă hackerii obțin acces la panoul de control, primul lucru pe care îl vor observa este Editorul de fișiere. Unii utilizatori WordPress preferă să dezactiveze complet această funcție. Poate fi dezactivat prin editarea fișierului wp-config.php adăugând următorul cod la acesta:
define('DISALLOW_FILE_EDIT', true);
Asta este tot ce ai nevoie pentru a dezactiva această funcție în WordPress.
IMPORTANT. În cazul în care doriți să activați din nou această funcție, utilizați clientul FTP sau File Manager pentru găzduire și eliminați acest cod din fișierul wp-config.php.
Pasul 10. Ștergerea șabloanelor și pluginurilor neutilizate
Curățați site-ul dvs. pe WordPress și eliminați toate șabloanele și pluginurile neutilizate. Hackerii folosesc adesea șabloane și pluginuri dezactivate și învechite (chiar și pluginuri oficiale WordPress) pentru a accesa panoul de control sau pentru a descărca conținut rău intenționat pe server. Prin eliminarea pluginurilor și șabloanele pe care ați încetat să le mai utilizați (și poate ați uitat să le actualizați) cu mult timp în urmă, reduceți riscurile și faceți site-ul dvs. WordPress mai sigur.
Pasul 11. Utilizarea .htaccess pentru a îmbunătăți securitatea WordPress
.htaccess este un fișier necesar pentru funcționarea corectă a linkurilor WordPress. Fără intrările corecte în fișierul .htaccess, veți obține o mulțime de 404s.
Nu mulți utilizatori știu că .htaccess poate fi folosit pentru a îmbunătăți protecția WordPress. De exemplu, puteți bloca accesul sau dezactiva execuția PHP în anumite foldere.
IMPORTANT. Înainte de a modifica fișierul, faceți o copie de rezervă a vechiului fișier .htaccess. Pentru a face acest lucru, puteți utiliza clientul FTP sau File Manager.
Dezactivarea accesului la partea administrativă a WordPress
Codul de mai jos vă va permite să accesați partea administrativă a WordPress numai de la anumite IP-uri.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Controlul accesului administratorului WordPress”
AuthType Basic
comanda refuza, permite.
nega de la toti
permite de la xx.xx.xx.xx.xxx
permite de la xx.xx.xx.xx.xxx
Rețineți că „xx.xx.xx.xx.xxx” este adresa dvs. IP. Puteți utiliza acest site web pentru a vă verifica adresa IP actuală. Dacă utilizați mai multe conexiuni pentru a gestiona site-ul pe WordPress, asigurați-vă că ați scris alte adrese IP (adăugați câte adrese aveți nevoie). Nu este recomandat să utilizați acest cod dacă aveți o adresă IP dinamică.
Dezactivarea execuției PHP în foldere specifice
Hackerilor le place să încarce scripturi backdoor în folderul de descărcare WordPress. În mod implicit, acest folder este folosit doar pentru a stoca fișiere media. Prin urmare, nu ar trebui să conțină niciun fișier PHP. Puteți dezactiva cu ușurință execuția PHP creând un nou fișier .htaccess în /wp-content/uploads/ cu aceste reguli:
nega de la toti
Protecția fișierului wp-config.php
Fișierul wp-config.php conține kernelul de configurare WordPress și detaliile bazei de date MySQL. Prin urmare, este cel mai important fișier din WordPress. Prin urmare, devine adesea ținta principală a hackerilor WordPress. Cu toate acestea, îl puteți securiza cu ușurință folosind următoarele reguli .htaccess:
ordona permite, refuza.
nega de la toti
Pasul 12. Schimbarea prefixelor standard ale bazei de date WordPress pentru a preveni injectarea SQL
Baza de date WordPress conține și stochează toate informațiile cheie necesare pentru funcționarea site-ului dvs. Ca urmare, devine o altă țintă pentru hackeri și spammeri care realizează cod automat pentru implementarea codului SQL. În timpul instalării WordPress, mulți oameni nu se deranjează să schimbe prefixul standard al bazei de date wp_. Potrivit WordFence, 1 din 5 hack-uri ale WordPress este conectat cu implementarea codului SQL. Deoarece wp_ este una dintre valorile standard, hackerii încep cu ea mai întâi. În această etapă, voi lua în considerare pe scurt protejarea unui site web pe WordPress de astfel de atacuri.
Schimbarea tabelului de prefixe pentru un site WordPress existent
IMPORTANT. Siguranța pe primul loc! Înainte de a începe, asigurați-vă că aveți o copie de rezervă a bazei de date MySQL.
Prima parte. Schimbarea prefixului în wp-config.php
Găsiți fișierul wp-config.php folosind clientul FTP sau File Manager și găsiți linia cu $table_prefix.
Puteți adăuga numere suplimentare, litere sau caractere de subliniere. După aceea, salvați modificările și treceți la pasul următor. În acest ghid, voi folosi wp_1secure1_ ca nou prefix de tabel.
În timp ce vă aflați în fișierul wp-config.php, găsiți numele bazei de date pentru a ști pe care să îl schimbați. Uitați-vă în secțiunea define('DB_NAME'.
Partea a doua. Actualizarea tuturor tabelelor bazei de date
Acum trebuie să actualizați toate înregistrările din baza de date. Acest lucru se poate face folosind phpMyAdmin.
Găsiți baza de date definită în prima parte și conectați-vă la ea.
Implicit, instalarea WordPress are 12 tabele și fiecare dintre ele ar trebui actualizat. Cu toate acestea, acest lucru se poate face mai rapid folosind partiția SQL din phpMyAdmin.
Schimbarea manuală a fiecărui tabel va dura mult timp, așa că utilizați interogări SQL pentru a accelera procesul. Următoarea sintaxă vă va permite să actualizați toate tabelele din baza de date:
RENUMIRE tabelul `wp_commentmeta` LA `wp_1secure1_commentmeta`;
RENUMIRE tabelul `wp_comments` LA `wp_1secure1_comments`;
RENUMIRE tabelul `wp_links` LA `wp_1secure1_links`;
RENAME tabelul `wp_options` LA `wp_1secure1_options`;
RENUMIRE tabelul `wp_postmeta` LA `wp_1secure1_postmeta`;
RENUMIRE tabelul `wp_posts` LA `wp_1secure1_posts`;
RENUMIRE tabelul `wp_terms` LA `wp_1secure1_terms`;
RENUMIRE tabelul `wp_termmeta` TO `wp_1secure1_termmeta`;
RENAME tabelul `wp_term_relationships` LA `wp_1secure1_term_relationships`;
RENAME tabelul `wp_term_taxonomy` LA `wp_1secure1_term_taxonomy`;
RENAME tabelul `wp_usermeta` LA `wp_1secure1_usermeta`;
RENUMIRE tabelul `wp_users` LA `wp_1secure1_users`;
Unele șabloane sau pluginuri WordPress pot adăuga tabele suplimentare la baza de date. Dacă aveți mai mult de 12 tabele în baza de date MySQL, adăugați tabelele rămase manual la interogarea SQL și executați-o.
Partea a treia. Verificarea opțiunilor și a tabelelor de metadate personalizate
În funcție de numărul de pluginuri instalate, unele valori din baza ta de date trebuie actualizate manual. Puteți face acest lucru executând interogări SQL separate pentru opțiuni și tabelele de metadate.
Pentru tabelul de opțiuni, utilizați:
SELECTAȚI * FROM `wp_1secure1_options` WHERE `opțiune_nume` LIKE `%wp_%`
Pentru tabelul de metadate:
SELECTAȚI * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE `%wp_%`
Când primiți rezultatele interogării, pur și simplu actualizați toate valorile de la wp_ la prefixul dvs. nou configurat. În tabelul de metadate al utilizatorului, trebuie să editați câmpul meta_key, în timp ce pentru tabelul cu opțiuni, trebuie să modificați valoarea opțiunii_name.
Securizarea noilor instalări WordPress
Dacă intenționați să instalați noi site-uri web WordPress, nu trebuie să faceți acest lucru din nou. Puteți schimba cu ușurință prefixele tabelelor WordPress în timpul procesului de instalare.
Felicitări! Ați îmbunătățit cu succes securitatea bazei de date.
Concluzie
Deși WordPress este cel mai hackabil CMS din lume, nu este atât de greu să-i îmbunătățești protecția. În acest ghid, ți-am oferit 12 sfaturi de urmat pentru a menține WordPress în siguranță.
Biografia autorului : Roy este un pasionat de tehnologie, un tată iubitor de gemeni, un program într-o companie de software personalizat, editor șef al cititorului lacom TheHomeDweller.com și un grădinar.