Sfaturi pentru a vă proteja site-ul WordPress împotriva vulnerabilităților

S-ar putea să ajungi la acest articol căutând Cum să securizi site-ul WordPress împotriva exploatărilor? sau

Cum să preveniți site-ul WordPress împotriva hackurilor și a programelor malware?

Sau Sfaturi vă protejează site-ul WordPress împotriva tuturor exploatărilor.

Desigur, acesta este articolul potrivit și acesta vorbește despre tot felul de tehnici, instrumente și plugin-uri pentru a vă ajuta să vă asigurați site-ul WordPress.

Conform W3Techs, WordPress alimentează mai mult de 58% din toate site-urile web care folosesc CMS, ceea ce ajunge la 24,9% din toate site-urile din lume.

Așadar, odată cu creșterea utilizării WordPress și cu popularitatea din ce în ce mai mare a cât de ușor este de configurat și cât de ușor este de utilizat, a existat o creștere a utilizării din ce în ce mai multe teme WordPress, precum și a pluginurilor.

Dar, din moment ce este ușor, există și un călăreț care vine împreună cu el. Devine destul de ușor pentru hackeri să-l pirateze dacă este folosit în toate setările sale implicite.

De aici și necesitatea de a înțelege securitatea și de a securiza site-ul dvs. WordPress, deoarece nimănui nu-i place să-și pirateze site-ul.

Este evident că atunci când căutați pe Google acest cuvânt cheie: „preveniți hackul WordPress” rezultă 8 milioane sau mai multe rezultate că cât de disperat le plac dezvoltatorii, precum și utilizatorii începători, vor să cunoască tehnicile și instrumentele de prevenire a hackurilor pentru site-ul lor WordPress.

Iată o listă de sfaturi și instrumente, precum și tehnici la care noi, ca dezvoltatori de teme WordPress, ne-am putea gândi.

Desigur, acest articol poate duce la o discuție și se pot face mai multe contribuții și mai multe completări pe măsură ce timpul trece.

Vom începe cu cele mai simple tehnici și apoi vom trece la cele mai complexe:

Sfaturi mai simple pentru securitate:

1. Găzduire : găzduirea dvs. joacă un rol crucial și important în asigurarea securității site-ului dvs. WordPress. De multe ori este gazda proastă care te face piratat.

Dacă aveți o găzduire excelentă, multe lucruri pot fi rezolvate rapid și cea mai mare parte din frustrarea dvs. poate fi redusă. De exemplu: Backup-urile sunt ușoare.

Atacurile cu forță brută și spam-ul și injecția SQL sunt adesea verificate și evitate. Prin urmare, vom vorbi despre cele mai recomandate gazde și instrumentele lor.

A. Găzduire partajată : Majoritatea oamenilor doresc doar să-și înceapă site-ul web și, prin urmare, nu doresc să cheltuiască mult la prima încercare și, astfel, selectează găzduirea partajată ca platformă.

Există mii de companii de găzduire care oferă găzduire partajată și nu le putem adăuga pe toate aici, dar includem doar 4 găzduire partajată pe care le-am încercat personal și le putem recomanda.

Cu toate acestea, ar putea exista un serviciu chiar mai bun sau similar. Anunțați-ne:

i. Bluehost : Bluehost a fost recomandat în mod constant de WordPress.org pe pagina sa de găzduire: https://wordpress.org/hosting/ Este un bun punct de plecare pentru găzduirea partajată în cazul în care aveți nevoie de un site web WordPress, deoarece are atât găzduire premium WordPress pentru viitoare și simplă găzduire partajată cu 1 clic de instalare.

Deoarece este o găzduire partajată, care vă costă între 3 și 4 USD pe lună, nu vă puteți plânge prea mult de lipsa de funcții sau servicii.

Cu toate acestea, are un instrument automat pentru backup cunoscut sub numele de expert de backup, care vine împreună cu cpanel pe care îl puteți folosi. Astfel, backup-urile vă pot asigura că sunteți în siguranță și dacă site-ul dvs. este piratat, puteți restabili backupul.

ii. A Small Orange : Suntem găzduiți personal pe această găzduire și majoritatea caracteristicilor prezente în Bluehost sunt prezente aici. Dar, mai presus de toate, ceea ce ne place cel mai mult și putem spune că este chiar mai bun decât gazda de mai sus este suportul.

Tichetele de asistență primesc răspuns în 5-6 ore și întotdeauna putem discuta cu cineva pe chatul live în câteva minute.

Suportul este ceea ce face ca această gazdă să iasă în evidență față de restul, deoarece există o mulțime de răspunsuri și ajutor pe care le pot oferi gratuit. Tot ce trebuie să faci este să le ceri. Exemplu: instalarea memoriei cache a serverului NGINX, copii de rezervă și modul de utilizare etc.

iii. SiteGround : O altă găzduire populară WordPress partajată oferă, de asemenea, instrumente bune pentru a vă face backup site-ului. Restul cpanel și caracteristicile standard sunt prezente. Chatul este, de asemenea, proactiv și la biletele de asistență se răspunde des.

iv. Godaddy : Godaddy este cel mai mare registrator de domenii și, prin urmare, mulți îl preferă și pentru găzduirea lor. Overtime Godaddy a făcut, de asemenea, câteva modificări pentru a face din acesta o găzduire de încredere pentru WordPress.

De asemenea, a început să ofere găzduire standard Cpanel WordPress, care permite backup-uri și alte instrumente ușor de utilizat.

b. Găzduire WordPress gestionată : Pentru cei care au un buget mic și doresc să aibă găzduire să își gestioneze securitatea pentru ei.

Aceste 2 companii de găzduire dintre multele pe care le-am găsit pe care le-am găsit de încredere, mai ieftine decât restul și adesea vă ajută să vă securizați site-ul web, precum și vă anunț ce pluginuri sunt bune și care nu sunt bune.

De asemenea, au copii de rezervă pe noapte, ceea ce înseamnă că sunteți liniștit cu ele. Deci, ori de câte ori are loc un hack, ceea ce este rar din moment ce îl gestionează, ei pot restaura rapid copia de rezervă:

i. WP Engine : WP Engine vă permite să cunoașteți lista de pluginuri pe care le recomandă pentru majoritatea. Prin urmare, pluginurile vulnerabile sunt ținute la distanță.

ii. FlyWheel : Flywheel vă spune să nu instalați niciun plugin de securitate, deoarece ei se ocupă de securitate, ceea ce înseamnă că nu trebuie să faceți nimic odată ce instalați cu ele și ei se ocupă de restul.

2. Back-up -uri: Backup-urile pot fi prin utilizarea managerului de fișiere cpanel sau prin ftp (pentru fișiere) și descărcarea bazei de date folosind phpMyAdmin folosind cpanel sau accesul la baza de date gazdă.

Există 100 de tutoriale despre cum puteți face backup manual pentru site-ul dvs. WordPress. Cu toate acestea, ar trebui să luați în considerare să citiți Procedurile de copiere de rezervă Codex, deoarece acestea sunt sigure și au fost scrise frumos: http://codex.wordpress.org/WordPress_Backups.

Există și mai multe plugin-uri. Vom vorbi despre ele pe scurt, deoarece majoritatea dintre ele pe care le-am menționat aici funcționează bine și au recenzii bune de la alții:

A. BackUpWordPress
b. BackUpBuddy (versiunea plătită a acestui plugin este prezentă și)
c. VaultPress
d. Copiere de rezervă și restaurare Dropbox
e. Backup și restaurare Amazon S3

3. Actualizați versiunea WordPress : De cele mai multe ori, din cauza utilizării versiunii mai vechi de WordPress, site-ul dvs. riscă să fie piratat. WordPress recunoaște multe defecte și parametri de securitate în versiunile sale anterioare și așa cum au raportat colegii contribuitori, care din când în când sunt actualizați.

Prin urmare, utilizarea celei mai recente versiuni de WordPress ar trebui să reducă riscul de a fi piratat sau atașat de malware.

4. Actualizarea pluginurilor și temelor WordPress : În general, în același mod, autorii de teme și autorii de plugin-uri lansează actualizări și funcții. De cele mai multe ori sunt actualizări de caracteristici.

Dar, din când în când, acești autori recunosc și defecte de securitate și, prin urmare, este o practică bună să folosiți în continuare pluginurile și temele actualizate.

5. Schimbați numele de utilizator și parola implicite: Utilizarea numelui de utilizator și a parolei implicite ca o simplă serie de numere sau păstrarea administratorului este bine atâta timp cât sunteți pe un server local sau pe un site de testare.

Dar pentru site-urile web de afaceri este important să schimbați numele de utilizator și parola implicite.

Acum, cu cele mai recente versiuni WordPress, este posibil să alegeți un nume de utilizator securizat și generează o parolă securizată, dar pentru utilizatorii cu versiuni mai vechi de WordPress puteți merge la profilul dvs. pentru a vă schimba parola.

Cu toate acestea, pentru a schimba numele de utilizator, utilizați fie phpMyAdmin în cazul în care vă simțiți confortabil să-l schimbați de acolo, fie utilizați oricare dintre pluginurile de mai jos:
A. Redenumirea administratorului a fost extinsă
b. Schimbator de nume de utilizator

6. Autentificare în 2 pași pentru atacuri cu forță brută : autentificarea în 2 pași este esențială în cazul în care site-ul dvs. primește o mulțime de atacuri cu forță brută și are un trafic ridicat sau informații sensibile.

Autentificarea în 2 pași vă asigură zona de conectare a site-ului WordPress și o face foarte complexă pentru atacurile cu forță brută. Pluginurile care pot fi utilizate pentru autentificarea în 2 pași sunt:
A. Cheie
b. Duo
c. Authy
d. Google Authenticator
e. Rublon

Acești pași simpli ar trebui să-l facă pe utilizator să se simtă liniștit în ceea ce privește cel puțin să aibă copii de rezervă în timp util și cel puțin să-și prezinte site-ul cu securitate minimă.

Următorii pași pe care îi vom discuta sunt pași mai complexi pentru a vă asigura și mai mult site-ul WordPress.

Etape complexe:

1. Pași enumerați în Hardening WordPress by Codex : http://codex.wordpress.org/Hardening_WordPress
Majoritatea acestor pași sunt pentru dezvoltatori sau pentru oameni care folosesc WordPress de destul de mult timp și înțeleg cum funcționează wp-config.

Ați folosit managerul de fișiere sau ftp și puteți implementa modificări în htaccess, wp-config etc.

Acești pași acționează cu siguranță ca un punct de plecare în securizarea site-ului dvs. Cu toate acestea, unele dintre puținele pluginuri de securitate pe care le vom discuta în continuare vor plasa o acoperire netă de securitate pe site-ul dvs. WordPress și, prin urmare, ar trebui să le verificați și pe următoarele:

2. Plugin-uri care vor ajuta la detectarea programelor malware și la detectarea modificării fișierelor :

A. Sucuri Site Scan : Sucuri Site Scan are destul de multe file. Pe prima filă sunt setări generale despre când să fiți notificat pentru alerte, cum ar fi autentificare, atacuri de forță brută, înregistrarea de noi utilizatori, alerte pentru încercări eșuate de conectare, instalare de plugin etc.

Deci, dacă aveți mulți utilizatori pe site-ul dvs. și mulți administratori sau editori care ar putea instala pluginul, atunci aceste funcții sunt utile și esențiale.

Al doilea este scanarea programelor malware care vă informează despre orice fel de malware sau coduri rău intenționate prezente în orice plugin sau director de teme.

De asemenea, verifică fișierele de eroare, fișierele modificate, dacă există. Scanarea ar trebui redusă dacă traficul site-ului dvs. este scăzut și sunteți găzduit pe găzduire partajată, deoarece scanarea necesită și o mulțime de memorie RAM de găzduire.

A treia parte este întărirea securității, cum ar fi eliminarea versiunii WordPress (deoarece versiunile inferioare sunt mai predispuse la hack, hackerii verifică versiunea și știu pe ce versiune ce fel de vulnerabilități de securitate sunt prezente).

Prin urmare, eliminarea versiunii WordPress, directorul de încărcări în care este stocat conținutul media trebuie securizat și consolidat, restricționarea accesului la conținut wp, readme.html să fie întărit, contul de administrator implicit să fie eliminat și schimbat, prefixul implicit al bazei de date să fie schimbat Protecția Sucuri Firewall .

Nu am testat acest lucru, dar apare folosind Cloudproxy Firewall, despre care susține că ar trebui să vă ajute să vă asigurați site-ul împotriva injecțiilor DDOS, Brute Force și SQL. Dacă ați folosit această funcție, anunțați-ne, deoarece nu avem dovezi că acest firewall vă ajută cu adevărat.

b. Antivirus : Un alt plugin pe care l-am găsit util este Antivirus. Detectează fișierele WordPress Theme și fișierele bazei de date pentru securitate și exploatare.

Singurul dezavantaj al acestui plugin de securitate este că va folosi wp-cron și dacă configurați o scanare zilnică și în cazul în care găzduirea dvs. partajată nu este atât de puternică și site-ul dvs. este mai mare ca dimensiune.

În ceea ce privește paginile, postările și bazele de date, acest plugin ar putea consuma o mulțime de resurse în timp ce scanează fișierele și tabelele bazei de date.

c. Anti-Malware și Brute Force Security de la ELI : Anti-malware și Brute Force Security, după cum sugerează și numele, fac o treabă grozavă în acest sens.

În cazul în care vă înscrieți pentru plugin la gotmls.net, obțineți toate actualizările amenințărilor cunoscute. De asemenea, scanează htaccess pentru orice scripturi, verifică exploatările timethumb și vă avertizează, verifică orice scripturi backdoor și vă cere să nu vă folosească și vă verifică datele de conectare pentru eventuale vulnerabilități.

Deci, în acest fel, acest plugin își face sarcina de anti-malware. Verifică și toate fișierele WordPress originale. Puteți să-l utilizați și să verificați eventualele probleme pe site-ul dvs. web existent și să le remediați.

d. Verificator de autenticitate a temei : Ei bine, în majoritatea cazurilor, încercăm să avem pluginuri scanate și securitate generală a tabloului de bord WordPress, cum ar fi autentificare, fișiere WordPress etc.

Dar temele WordPress și securitatea lor sunt, de asemenea, importante, deoarece pot exista scripturi inutile sau coduri rău intenționate, care pot fi piratate cu ușurință.

Prin urmare, acest plugin servește ca un instrument frumos pentru a vă scana și verifica tema și, odată ce știți ce fișiere sunt nedorite sau ce cod este problematic, îl puteți trimite la autorul temei inițiale fie pentru eliminarea, fie modificarea codului.

Pentru practici mai sigure sau dacă există prea multe vulnerabilități, mai degrabă utilizați o temă mai sigură. Pentru cele mai multe cazuri, pentru verificările temei, se descurcă mai bine decât Antivirus.

3. Pluginuri de securitate care vă vor securiza site-ul WordPress

A. All in One WP Security and Firewall : Acesta are grijă de următoarele, care rezumă cea mai mare parte a securității pe care o puteți lua pe site-ul dvs.:
i. Securitate autentificarea utilizatorului
ii. Securitatea contului de utilizator
iii. Securitatea înregistrării utilizatorilor
iv. Securitatea fișierelor de sistem
v. Configurare firewall
vi. Funcția de listă neagră
vii. Securitatea bazei de date
viii. Backup-uri
ix. Firewall și Brute Force

b. Securitate WordFence

c. Securitate WP mai bună (acum iThemes Security)

d. Securitate BulletProof

4. Alții au fost excluși din această listă, dar pot fi utile :

A. Acunetix WP Security : Recent, au apărut o mulțime de recenzii negative pentru acest plugin pe WordPress.org, prin urmare nu v-am putea recomanda.

b. 6Scan Security : Mulți clienți s-au plâns că site-ul a rămas gol după instalarea acestui plugin și, prin urmare, nu v-am putea recomanda.

c. Exploat Scanner

d. Quttera Web Malware Scanner