7 sfaturi pentru securizarea utilizatorilor WordPress în 2021

Cel mai bun mod de a vă securiza utilizatorii WordPress în 2021 este prin utilizarea unei parole puternice și autentificare cu doi factori. Pare destul de simplu, nu? Realitatea este că securitatea utilizatorului WordPress este ceva mai nuanțată.

Ori de câte ori vorbim despre securitatea utilizatorului, auzim adesea întrebări precum, ar trebui ca fiecare utilizator WordPress să aibă aceleași cerințe de securitate și cât de multă securitate este prea multă securitate?

Nu-ți face griji. Răspundem la toate aceste întrebări. Dar mai întâi, să vorbim despre diferitele tipuri de utilizatori WordPress.

Care sunt diferitele tipuri de utilizatori WordPress?

Există 5 utilizatori impliciți WordPress diferiți.

1. Administrator
2. Editor
3. Autor
4. Colaborator
5. Abonat

Fiecare utilizator are capacități diferite. Capacitățile dictează ce pot face odată ce au acces la tabloul de bord. Citiți mai multe despre rolurile și permisiunile utilizatorilor WordPress.

Deteriorarea potențială a diferiților utilizatori WP hackerați

Înainte de a putea înțelege cum să ne securizăm utilizatorii WordPress, trebuie mai întâi să înțelegem nivelul de amenințare al fiecărui tip de utilizator compromis. Tipul și nivelul daunelor pe care le poate provoca un atacator variază foarte mult în funcție de rolurile și capacitățile utilizatorului pe care îl piratează.

Administrator - Nivel de amenințare ridicat

Utilizatorii administrator au capacitatea de a-și dori orice.

• Creați, eliminați și modificați utilizatori.
• Instalați, eliminați și editați pluginuri și teme.
• Creați, eliminați și editați toate postările și paginile.
• Publică și anulează postări și pagini.
• Adăugați și eliminați conținut media.

Dacă un hacker poate pune mâna pe unul dintre administratorii site-ului dvs., acesta ar putea să vă păstreze site-ul pentru răscumpărare. Ransomware se referă la momentul în care un hacker preia site-ul dvs. web și nu vi-l va elibera decât dacă le plătiți o taxă puternică.

Timpul mediu de oprire al unui atac ransomware este de 9,5 zile. Cât de mult v-ar costa 10 zile fără vânzări?

Editor - Nivel de amenințare ridicat

Editorul gestionează tot conținutul site-ului web. Acești utilizatori au încă destul de multă putere.

• Creați, ștergeți și editați toate postările și paginile.
• Publică și anulează toate postările și paginile.
• Încărcați fișiere media.
• Gestionați toate linkurile.
• Gestionați comentariile.
• Gestionați categoriile.

Dacă un atacator a preluat controlul contului unui editor, acesta ar putea modifica una dintre paginile dvs. pentru a o utiliza într-un atac de phishing. Phishingul este un tip de atac folosit pentru a fura datele utilizatorului, inclusiv acreditările de conectare și numerele cardului de credit.

Phishingul este una dintre cele mai sigure modalități de a obține site-ul dvs. pe lista neagră de Google. În fiecare zi, 10.000 de site-uri intră pe lista de blocuri Google din diferite motive.

Autor - Nivel de amenințare mediu

Autorul a fost conceput pentru a crea și gestiona propriul conținut.

• Creați, ștergeți și editați propriile lor postări și pagini.
• Publică și anulează propriile postări.
• Încărcați fișiere media

Dacă un atacator ar obține controlul asupra contului unui autor, ar putea crea pagini și postări care să trimită vizitatorii site-ului dvs. pe site-uri web dăunătoare.

Contribuitor și abonat - Nivel de amenințare scăzut

Contributor este versiunea simplă a rolului de utilizator Author. Nu au nici o putere de publicare.

• Creați și editați propriile lor postări.
• Ștergeți propriile postări nepublicate.

Abonatul poate citi lucruri pe care ceilalți utilizatori le publică.

În timp ce hackerii cu rol de Colaborator sau Abonat nu pot face modificări dăunătoare, aceștia pot fura orice informații sensibile stocate în contul utilizatorului sau în pagina de profil.

7 sfaturi pentru a vă asigura utilizatorii WordPress

Bine, deci acestea sunt niște lucruri destul de urâte pe care hackerii le pot face site-urilor noastre web. Vestea bună este că majoritatea atacurilor asupra conturilor dvs. de utilizator WordPress pot fi prevenite doar cu puțin efort din partea dvs.

Să aruncăm o privire asupra lucrurilor pe care le puteți face pentru a vă asigura utilizatorii WordPress. Adevărul este că aceste metode de securitate vor ajuta la securizarea fiecărui tip de utilizator WordPress. Dar, pe măsură ce parcurgem fiecare dintre metode, vă vom anunța ce utilizatori ar trebui să solicitați pentru a utiliza metoda.

1. Oferă oamenilor doar capacitățile de care au nevoie

Cel mai simplu mod în care vă puteți proteja site-ul este doar oferind utilizatorilor capacitățile de care au nevoie și nu nimic mai mult. Dacă singurul lucru pe care cineva îl va face pe site-ul dvs. este să creeze și să editeze propriile postări de blog, nu are nevoie de capacitatea de a edita postările altor persoane.

2. Limitați încercările de conectare

Atacurile cu forță brută se referă la o metodă de încercare și eroare utilizată pentru a descoperi combinații de nume de utilizator și parole pentru a intra într-un site web. În mod implicit, nu există nimic încorporat în WordPress pentru a limita numărul de încercări eșuate de conectare pe care le poate face cineva.

Fără o limită a numărului de încercări de conectare eșuate, un atacator poate face, poate continua să încerce un număr nesfârșit de nume de utilizator și parole până când vor avea succes.

Funcția iThemes Security Pro Local Brute Force Protection ține evidența încercărilor de conectare nevalide făcute de adresele IP și numele de utilizator. Odată ce un IP sau un nume de utilizator a făcut prea multe încercări de conectare nevalide consecutive, acestea vor fi blocate și vor fi împiedicate să mai facă alte încercări de conectare.

3. Asigurați utilizatorii WordPress cu parole puternice

Cu cât parola contului dvs. de utilizator WordPress este mai puternică, cu atât este mai greu de ghicit. Este nevoie de 0,29 milisecunde pentru a sparge o parolă de șapte caractere. Dar, un hacker are nevoie de două secole pentru a sparge o parolă de douăsprezece caractere!

În mod ideal, o parolă puternică este un șir alfanumeric lung de douăsprezece caractere. Parola trebuie să conțină litere mari și mici, precum și alte caractere ASCII.

Deși toată lumea poate beneficia de utilizarea unei parole puternice, este posibil să doriți doar să forțați persoanele cu capacități la nivel de autor și mai mari să aibă parole puternice.

Funcția de cerință a parolelor iThemes Security Pro vă permite să forțați anumiți utilizatori să utilizeze o parolă puternică.

4. Refuzați parolele compromise

Chiar dacă 91% dintre oameni știu că refolosirea parolelor este o practică slabă, 59% dintre oameni își reutilizează parolele peste tot! Mulți dintre acești oameni folosesc în continuare parole despre care știu că au apărut într-o bază de date.

Hackerii folosesc o formă de forță brută atacată numită atac de dicționar. Un atac de dicționar este o metodă de intrare într-un site web WordPress cu parole utilizate în mod obișnuit, care au apărut în depozitele de baze de date. „Colecția nr. 1? Încălcarea datelor care a fost găzduită pe gazdă MEGA a inclus 1.160.253.228 de combinații unice de adrese de e-mail și parole. Adică miliarde cu b. Acest tip de scor va ajuta într-adevăr un atac de dicționar să restrângă cele mai utilizate parole WordPress.

Este o necesitate pentru a împiedica utilizatorii cu capacități la nivel de autor și mai mari să utilizeze parole compromise. De asemenea, s-ar putea să vă gândiți să nu permiteți utilizatorilor dvs. de nivel inferior să utilizeze parole compromise.

Este complet de înțeles și încurajat să creați un cont de client nou cât mai ușor posibil. Cu toate acestea, este posibil ca clientul dvs. să nu știe că parola pe care o utilizează a fost găsită într-un depozit de date. Le-ați oferi clienților un serviciu excelent, alertându-i cu privire la faptul că parola pe care o utilizează a fost compromisă. Dacă folosesc parola respectivă peste tot, le-ați putea salva de la unele bătăi de cap majore pe drum.

Funcția iThemes Security Pro Refuse Compromised Parwords obligă utilizatorii să folosească parole care nu au apărut în nicio încălcare a parolelor urmărite de Have I Been Pwned.

5. Asigurați utilizatorii WordPress cu autentificare în doi factori

Autentificarea cu doi factori este un proces de verificare a identității unei persoane prin necesitatea a două metode separate de verificare. Google a împărtășit pe blogul său că utilizarea autentificării cu doi factori poate opri 100% din atacurile automate de bot. Îmi plac foarte mult aceste cote.

Cel puțin, ar trebui să solicitați administratorilor și editorilor să utilizeze autentificarea cu doi factori.

Funcția de autentificare cu doi factori iThemes Security Pro oferă o mulțime de flexibilitate atunci când implementați 2fa pe site-ul dvs. web. Puteți activa doi factori pentru toți sau unii dintre utilizatorii dvs. și vă puteți forța utilizatorii la nivel înalt să utilizeze 2fa la fiecare autentificare.

6. Limitați accesul dispozitivului la tabloul de bord WP

Limitarea accesului la tabloul de bord WordPress la un set de dispozitive poate adăuga un nivel puternic de securitate site-ului dvs. web. Dacă un hacker nu se află pe dispozitivul corect pentru un utilizator, acesta nu va putea folosi utilizatorul compromis pentru a provoca daune pe site-ul dvs. web.

Ar trebui să limitați accesul dispozitivului doar la administratorii și editorii dvs.

Funcția Dispozitive de încredere iThemes Security Pro identifică dispozitivele pe care dvs. și alți utilizatori le utilizați pentru a vă conecta la site-ul dvs. WordPress. Când un utilizator s-a conectat pe un dispozitiv nerecunoscut, dispozitivele de încredere își pot restricționa capacitățile la nivel de administrator. Aceasta înseamnă că, dacă un atacator ar putea intra în backend-ul site-ului dvs. WordPress, nu ar avea capacitatea de a face modificări rău intenționate site-ului dvs. web.

7. Securizați utilizatorii WordPress de Session Hijacking

WordPress generează un cookie de sesiune de fiecare dată când vă conectați la site-ul dvs. web. Și să spunem că aveți o extensie de browser care a fost abandonată de dezvoltator și nu mai lansează actualizări de securitate. Din păcate pentru dvs., extensia de browser neglijată are o vulnerabilitate. Vulnerabilitatea permite actorilor răi să vă deturneze cookie-urile din browser, inclusiv cookie-ul de sesiune WordPress menționat anterior. Acest tip de hack este cunoscut sub numele de Session Hijacking . Așadar, un atacator poate exploata vulnerabilitatea extensiei pentru a vă lăsa în evidență datele de conectare și poate începe să facă modificări dăunătoare cu utilizatorul dvs. WordPress.

Ar trebui să aveți o protecție pentru deturnarea sesiunii pentru administratorii și editorii dvs.

Funcția iThemes Security Pro Trusted Devices face din Session Hijacking un lucru din trecut. Dacă dispozitivul unui utilizator se schimbă în timpul unei sesiuni, iThemes Security îl va deconecta automat pentru a preveni orice activitate neautorizată din contul utilizatorului, cum ar fi schimbarea adresei de e-mail a utilizatorului sau încărcarea de pluginuri rău intenționate.

Înfășurându-se

Popularitatea WordPress îl face o țintă pentru hackeri din întreaga lume. După cum am discutat, un atacator poate provoca daune prin piratarea chiar și a celui mai scăzut nivel de utilizator WordPress. Vestea bună este că, deși nu există nicio modalitate de a preveni atacurile asupra utilizatorilor dvs. WordPress, cu puțin efort din partea noastră, putem preveni succesul atacurilor.

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.