15 trucuri de securitate WordPress pentru a vă asigura site-ul dvs. WordPress

Au fost atât de multe știri despre site-urile WordPress piratate în ultima vreme. Și, mulți oameni au început să pună la îndoială siguranța WordPress din cauza atacurilor recente.

Prin urmare, dacă deții un site web WordPress, trebuie să acționezi pe baza acestor 15 tehnici de securitate WordPress pe care le voi învăța în acest ghid.

Înainte să intrăm direct în ea, permiteți-mi să vă avertizez înainte.

În timp ce ești aici ocupat să citești acest articol, un copil cu scenarii ar putea încerca să pirateze site-ul tău (WordPress sau nu).

Serios?

Da.

„De ce și-ar pierde unii băieți timpul cu mine? Nu este ca și cum aș fi o afacere mare.”

Ei bine, nu vreau să vă ridic grijile, dar hackerilor le plac site-urile mici pentru că sunt o țintă ușoară.

De ce este securitatea site-ului un zarva atât de mare?

Bine, cineva încearcă să pătrundă pe site-ul meu, dar de ce ar trebui să-mi pese? Mai ales că am o copie de rezervă a tuturor. Aș putea doar să șterg WordPress și să-l reinstalez.

Întrebarea ta este valabilă. Dar, ce se întâmplă dacă hackerul a obținut acces la backup-ul și la gazdă web?

De asemenea, există și alte riscuri dacă un pirat de computer câștigă controlul asupra site-ului tău web, unele dintre ele sunt...

1. Hackerii ar putea să vă fure informațiile dvs. și ale vizitatorilor dvs. și să le folosească în scopuri ilegale.
2. Dacă abia începeți să obțineți vizitatori, timpul de nefuncționare vă va afecta pe termen lung.
3. Oamenii vor începe să pună la îndoială calitatea site-ului dvs.
4. Atacatorii pot posta ceva ofensator sau ilegal pe site-ul dvs., pentru care este posibil să trebuiască să vă confruntați cu consecințe (legale sau de altă natură).

Dar, de ce ar depune cineva tot efortul doar pentru a da probleme unui site mic ca al meu?

1. Un site mic este ușor de piratat.
2. Hackerii își testează instrumentele pe site-uri web mici pentru un proiect mai mare.
3. Ei pot folosi gazda dvs. web pentru a trimite e-mailuri spam.
4. Intrușii folosesc resursele site-urilor mici pentru a ataca „băieții mari”. Serverul dvs. web poate face parte dintr-o rețea bot pentru atacuri DDoS.
5. Hackerii vă pot folosi site-ul web pentru a răspândi programe malware. Mii de site-uri web mici reprezintă o modalitate bună de a răspândi programe malware, deoarece proprietarii de site-uri web mici nu își pot permite experților în securitate să verifice securitatea.
6. Hackerii pot folosi site-ul dvs. pentru a crește traficul și rangul Google al propriului site prin postarea de backlink-uri.

Prin urmare, chiar dacă abia începi să creezi un site web, trebuie să fii foarte atent la securitate. Nu este vorba doar despre tine. Neatenția ta i-ar putea afecta și pe alții (atac DDoS).

WordPress a fost spart, ar trebui să căutați alte platforme?

În primul rând, niciun sistem (site web sau computer personal) nu este securizat. Oamenii au găsit chiar și modalități de a pirata sistemele cu goluri de aer (calculatoare izolate).

Indiferent de platforma pe care o alegeți, hackerii vor găsi o cale de acces.

Motivul pentru care atât de multe site-uri WordPress sunt sparte este că WordPress este foarte popular. Aproximativ 27% dintre site-uri web folosesc WordPress și este în creștere. Deci, WordPress a devenit o mină de aur pentru hackeri și spammeri.

Cyberpunks atacă în mod constant WordPress, deoarece dacă reușesc să găsească o vulnerabilitate, ar putea prelua controlul asupra a 27% din Internet.

Un alt motiv pentru care site-urile WordPress sunt sparte este că este un mediu deschis. Utilizatorii pot codifica și modifica ei înșiși site-urile web. Ei pot adăuga pluginuri de la terți.

Deci, ar trebui să găsiți un alt CMS pentru site-ul dvs.?

Nu.

Problema nu este cu codul de bază al WordPress, ci cu pluginurile și temele pe care le instalați. Dar apoi, așa cum am spus mai devreme, niciun sistem nu este complet sigur.

Dacă WordPress în sine nu era sigur, de ce l-ar folosi 27% din web?

Mulți voluntari au o grijă deosebită pentru a menține sistemul de bază și depozitul WordPress. Temele și pluginurile care sunt disponibile în depozitul WordPress sunt testate temeinic pentru securitate și fiabilitate.

De asemenea, echipa WordPress abordează toate problemele de securitate cu foarte multă pricepere. Ei lansează în mod constant actualizări cu corecții de securitate. Deci, puteți avea încredere în WordPress pentru site-ul dvs.

Cu toate acestea, tu, în calitate de proprietar al site-ului web, ar trebui să fii foarte atent. Ar trebui să vă monitorizați întotdeauna site-ul web în mod regulat.

Iată 15 măsuri de securitate WordPress pe care ar trebui să le urmați pentru a minimiza riscul ca site-ul dvs. să fie spart!

Sfat profesionist: faceți întotdeauna backup pentru fișierele dvs. WordPress, inclusiv baza de date, înainte de a modifica fișierele și de a instala pluginuri de securitate.

Notă: Unele dintre linkurile din acest ghid sunt link-uri afiliate. Câștigăm o anumită sumă de comision dacă cumpărați servicii/produse prin intermediul link-urilor, fără niciun cost suplimentar pentru dumneavoastră. Acestea fiind spuse, nu recomandăm produse care nu merită.

1. Utilizați un nume de utilizator și o parolă unice

Când instalați WordPress, WordPress creează automat un nume de utilizator numit „admin”. Cred că este o caracteristică grozavă, deoarece mă scutește de sarcina obositoare de a introduce propriul meu nume de utilizator. Mă pot concentra asupra altor lucruri cu adevărat importante. Mulțumesc, WordPress!

Știu, știu. E o scuză stupidă. Dar, ați schimbat numele de utilizator implicit „admin” în timpul instalării WordPress? Bun venit în club!

Când hackerii încearcă să se conecteze la panoul de administrare, ei încearcă mai întâi „admin” ca nume de utilizator.

Care este problema importantă cu numele de utilizator când ai o parolă puternică?

Ei bine, știu că ai o parolă puternică este un lucru bun. Dar, dacă încă folosiți „admin” ca nume de utilizator, reduceți efortul hackerului la jumătate. Permutările sunt reduse.

Hackerii pot încerca doar combinarea diferitelor parole, deoarece vă cunosc deja numele de utilizator.

Dar, dezamăgirea este că nu poți schimba numele de utilizator în WordPress!

Deși puteți instala un plugin pentru a schimba numele de utilizator, nu vă recomand să folosiți pluginuri pentru sarcini simple.

Prin urmare, pur și simplu creați un nou utilizator cu privilegii de administrare și apoi ștergeți vechiul utilizator de administrator. Nu vă faceți griji, WordPress vă va întreba ce doriți să faceți cu postările pe care le-a creat utilizatorul.

Când creați un utilizator nou, utilizați un nume de utilizator care nu este prea evident, cum ar fi „numele meu” sau „numele site-ului meu”.

În ceea ce privește parola, regula simplă este ca parola dvs. să fie complexă , lungă și unică .

Complex: parola dvs. trebuie să conțină cel puțin 1 număr, 1 literă majusculă și 1 caracter special.

Lung: parola dvs. trebuie să aibă cel puțin 10 caractere.

Unic: parola dvs. nu trebuie să conțină cuvinte sau expresii obișnuite. Și ar trebui să utilizați parole diferite pentru fiecare site web.

După ce aplicați regulile de parolă de mai sus, parola dvs. ar trebui să arate astfel: LTwYgrsewDhw@ertzK9#M!K%

Aceasta este o parolă puternică. Dar problema este că suntem ființe umane și este greu de reținut.

Prin urmare, utilizați instrumente precum LastPass și KeePass. Sunt gratuite și le puteți folosi pe mai multe dispozitive.

Dacă tot credeți că puteți scăpa cu parole simple pentru că sunteți creativ, sper că acest lucru vă va răzgândi.

2. Utilizați autentificarea cu doi factori

Acum ați folosit un nume de utilizator unic și o parolă puternică pentru panoul dvs. de administrare WordPress.

Grozav!

Acesta este un pas către o mai bună securitate WordPress.

Dar, oricât de puternice, parolele pot fi sparte! Hackerii folosesc atacuri de forță brută (vom vorbi despre asta mai târziu) pentru a pătrunde în site-ul tău. Un atac puternic de forță brută poate sparge orice parolă.

De aceea ar trebui să începeți să utilizați autentificarea cu doi factori pe site-ul dvs. web. Va spori securitatea.

Autentificarea cu doi factori necesită să introduceți un cod de securitate pe lângă numele de utilizator și parola pentru autentificare. Odată ce activați autentificarea cu doi factori, veți primi un cod (de unică folosință) pe smartphone-ul dvs. Vă veți putea autentifica numai după ce introduceți codul.

Știu, asta este o bătaie de cap, dar, ține minte, mai bine să te asiguri decât să-ți pară rău. Cu excepția cazului în care guru de securitate găsesc unele opțiuni de conectare ADN, doi factori este cea mai bună metodă de securitate.

Din păcate, WordPress nu are setări încorporate pentru adăugarea de autentificare cu doi factori. Va trebui să utilizați un plugin numit Google Authenticator.

Dacă nu sunteți familiarizat cu verificarea în doi pași de la Google, Evanto tuts+ are tutoriale grozave despre utilizarea autentificatorului Google 2 factor cu WordPress.

3. Verificați utilizatorul ca om

Hackerii folosesc rețele bot pentru a ataca sistemele cu forță brută. Și, o modalitate de a da cu adevărat probleme hackerilor este utilizarea unui formular reCAPTCHA.

În general, botnet-urile nu pot valida reCAPTCHA, așa că hackerii trebuie să încerce manual să introducă nume de utilizator și parole. Asta, prietene, este o durere în... știi unde.

Dar, vechiul reCAPTCHA, cel care folosește text distorsionat, nu este eficient. Cu toții am fost acolo când trebuie să faci o ghicire sălbatică despre niște scrisori.

Pentru a face experiența reCAPTCHA mai prietenoasă cu oamenii și mai respingătoare pentru roboții, Google a introdus noul „Fără CAPTCHA reCAPTCHA”. Noul reCAPTCHA invizibil poate chiar detecta automat un om.

Puteți adăuga manual reCAPTCHA în formularul de autentificare, comentariu și/sau înregistrare WordPress manual sau utilizând un plugin reCAPTCHA No CAPTCHA.

Dar, mai întâi, trebuie să obțineți cheia reCAPTCHA de la Google. După ce obțineți cheile, introduceți-l în codurile dvs. dacă o faceți manual sau în setările pluginului dacă utilizați un plugin.

4. Actualizați WordPress

Ar trebui să actualizați întotdeauna WordPress. Actualizările WordPress nu sunt doar pentru adăugarea de funcții. Actualizările sunt lansate, cel mai important, pentru a remedia erorile și găurile de securitate.

Dar, ce se întâmplă dacă întâmpin probleme de compatibilitate cu temele și pluginurile mele după ce actualizez WordPress? Ei bine, de obicei, temele și pluginurile bune lansează actualizări de îndată ce nucleul WordPress este actualizat.

Dacă pluginurile sau temele pe care le utilizați nu au fost actualizate, atunci este timpul să găsiți alternative la ele.

Majoritatea site-urilor web piratate folosesc WordPress sau pluginuri sau teme învechite. Versiunile învechite de pluginuri ar putea pune în pericol site-ul dvs.

Așadar, actualizați temele și pluginurile cât mai curând posibil! Dacă nu există actualizări disponibile, modificați-le. Puteți găsi o mulțime de teme și plugin-uri actualizate în depozitul WordPress.

De asemenea, puteți încerca temele noastre WordPress. Le actualizăm în mod regulat, astfel încât să nu vă faceți griji cu privire la problemele de securitate ale temelor.

Cum se actualizează WordPress

Actualizarea WordPress este ușoară. WordPress afișează automat notificări pe Dashboard dacă există actualizări pentru sistemul de bază, teme sau pluginuri.

Accesați Tabloul de bord> Actualizări și faceți clic pe butoanele de actualizare.

De asemenea, puteți activa actualizările automate, astfel încât WordPress, pluginurile și temele dvs. de bază să se actualizeze automat pentru versiunile minore. Veți primi o notificare prin e-mail când site-ul dvs. este actualizat automat.

5. Dezactivați editarea fișierelor

Vă puteți personaliza cu ușurință site-ul web cu un editor de cod încorporat în WordPress.

Cu toate acestea, imaginați-vă, hackerii au reușit cumva să se conecteze la site-ul dvs. Acum, ei vă pot edita cu ușurință site-ul web folosind editorul. Prin urmare, este o practică sigură să dezactivați editarea WordPress prin intermediul editorului.

Pentru a dezactiva editorul, faceți mai întâi backup pentru WordPress. Apoi, localizați fișierul wp-config.php în back-end-ul site-ului dvs. web. Puteți găsi wp-config.php în folderul rădăcină al site-ului dvs., împreună cu alte foldere precum wp-admin și wp-content .

Puteți utiliza clientul FTP pentru a vă conecta la back-end-ul site-ului web. Sau, dacă aveți acces cPanel, puteți utiliza Managerul de fișiere disponibil în cPanel.

Acum, adăugați următoarea linie de cod în fișierul wp-config.php și salvați fișierul

După ce fișierul este actualizat, nu veți putea edita șabloanele de teme folosind tabloul de bord WordPress. Puteți modifica în continuare temele folosind FTP sau Managerul de fișiere al cPanel.

6. Limitați încercările de conectare

Când instalați WordPress, WordPress vă întreabă dacă instalați sau nu pluginul pentru limită de încercări de conectare.

Limitarea încercărilor de conectare este o modalitate excelentă de a vă proteja site-ul de atacuri cu forță brută.

Hackerii vor încerca să se autentifice pe site-ul dvs. cu diferite combinații de conectare. Cu toate acestea, dacă activați limitarea încercărilor de conectare, le permiteți utilizatorilor să încerce să se conecteze doar pentru un anumit număr de ori, după care utilizatorul este blocat.

Dacă ați uitat să bifați această opțiune în timpul instalării WordPress, nu vă faceți griji. Puteți găsi pluginul în depozitul WordPress.

Accesați Pluginuri> Adăugați nou din meniul tabloului de bord WordPress. Căutați „Loginizer”, apoi instalați și activați pluginul.

După activarea pluginului, accesați Loginizer Security> Brute Force din meniul de administrare WordPress pentru a configura protecția de conectare.

7. Protecție împotriva atacurilor cu forță brută

Hackerii folosesc atacurile Brute Force pentru a obține acces la panoul de administrare sau la conturile FTP ale site-ului dvs. Practic, un atac cu forță brută este o metodă de încercare și eroare. Este ca și cum ai încerca diferite combinații de taste pentru a deschide un lacăt. Intrușii pot folosi rețele bot pentru a automatiza atacurile.

Pentru a vă proteja site-ul web să nu devină ținta atacurilor cu forță brută, urmați instrucțiunile 1, 2, 3 și 6.

De asemenea, puteți modifica adresa URL implicită de conectare (www.mywebsite.com/wp-admin/), astfel încât hackerilor să le fie greu să găsească formularul de conectare în primul rând.

Puteți crea o adresă URL de conectare personalizată folosind un plugin numit All In One WordPress Security & Firewall. După ce instalați pluginul, accesați secțiunea Brute Force pentru a activa adresa URL personalizată de conectare. Acest plugin are atât de multe funcții încât nici măcar nu veți avea nevoie de alte pluginuri de securitate WordPress dacă îl instalați pe acesta.

8. Protecție împotriva atacurilor DDoS

Cu atât de multe dispozitive activate pentru internet, frecvența atacurilor DDoS a crescut.

DDoS este o metodă de supraîncărcare a unui site/serviciu cu trafic fals cu intenția de a opri serviciul. Hackerii folosesc sisteme infectate (care au malware) pentru a efectua atacuri DDoS. În 2016, hackerii au mototolit DYN, punând offline multe site-uri web celebre precum Twitter, Amazon, Reddit și Netflix.

Prin urmare, ar trebui să fiți întotdeauna gata să abordați atacurile DDoS.

Urmând măsurile de securitate menționate mai sus (1, 2, 3, 4, 6 și 7), ești deja pregătit pentru atacuri DDoS.

În plus, aș recomanda și utilizarea serviciilor cloud precum CloudFlare sau MaxCDN. Ele vă pot ajuta să atenuați atacurile DDoS.

În mod similar, memorarea în cache a site-ului dvs. web vă poate ajuta, de asemenea, să vă protejați site-ul de supraîncărcarea de trafic. Vă puteți păstra în cache site-ul folosind plugin-uri precum WP Super Cache.

9. Scanați programele malware și eliminați-le

Întrucât îmi citești cu atâta atenție sfaturile de securitate (sper cu adevărat că ești), lasă-mă să-ți spun ceva mai înfricoșător, dacă încă nu te-ai panicat!

Hackerii sunt smecheri! Este posibil să fi plasat deja niște programe malware în fișierele dvs. web.

Prin urmare, trebuie să scanați serverul dvs. web pentru fișiere rău intenționate cât mai curând posibil! Și, eliminați-le.

Cum să faci asta?

Conectați un plugin de securitate. Sucuri Security este cel mai bun plugin gratuit pentru detectarea și eliminarea programelor malware de pe WordPress.

Dacă nu vă place să adăugați pluginuri sau doriți să faceți o scanare completă pe server, abonați-vă la Sucuri. Acest serviciu te costă.

Dacă nu-ți poți permite Sucuri (știu că este scump), există o autostradă. Pentru că ți-am predicat despre toate aceste lucruri tehnologice, cred că meriți un răsfăț.

Iată cum să scanați și să eliminați programele malware de pe site-ul dvs. web gratuit!

Mai întâi, descărcați folderul public_html de pe serverul dvs. folosind un client FTP la alegere. Apoi, scanați folderul descărcat folosind un software antivirus (Norton, Kaspersky sau altceva) de pe computer. Asigurați-vă că programul antivirus este actualizat.

După aceea, înlocuiți vechiul fișier public_html cu cel nou curățat folosind FTP. La fel de ușor!

10. Webhost bun

Gazda web joacă un rol important, foarte important, în securitatea site-ului.

O gazdă web bună vă oferă asistență și instrumente pentru a aborda atacurile DDoS, atacurile cu forță brută și programele malware. Prin urmare, recomand găzduirea SiteGround pentru că păstrează securitatea la prioritate.

În general, un plan de găzduire partajată este mai vulnerabil deoarece serverul este partajat cu alte site-uri web. Hackerii pot folosi alte site-uri web de pe același server pentru a vă ataca site-ul pe găzduire partajată. Acest concept se numește contaminare încrucișată.

Este adesea considerat cel mai bun să obțineți găzduire dedicată sau găzduire VPS, dar sunt scumpe. Ca început, este posibil să nu aveți bugetul necesar.

Asta înseamnă că te riști? Nu. Chiar și găzduirea partajată poate fi protejată.

O companie bună de găzduire web precum SiteGround instalează firewall-uri precum ModSecurity, chiar și în planurile de găzduire partajată. De asemenea, limitează numărul de site-uri web de pe un server și scanează în mod regulat serverele pentru malware.

În mod similar, dacă gazda dvs. web vă poate oferi Sucuri Security, este un plus.

11. Alegeți cu înțelepciune pluginurile și tema

Ei bine, alegeți cu înțelepciune pluginurile și temele. Asta este tot ce trebuie să știi despre acest subiect.

Opțiunea de a instala pluginuri și teme terțe este ceea ce face WordPress vulnerabil la hackeri.

Pluginurile și temele WordPress disponibile în depozitul WordPress sunt sigure. Dar dacă trebuie să adăugați manual unele pluginuri sau teme, verificați întotdeauna dacă există malware, folosind software antivirus, înainte de a le încărca pe WordPress.

De asemenea, înainte de a instala pluginuri sau teme, verificați recenziile și data ultimei actualizări.

12. Eliminați temele și pluginurile inutile/învechite

Păstrați-vă întotdeauna WordPress curat.

Dacă nu utilizați în prezent niciun plugin sau temă și acestea sunt învechite, eliminați-le. S-ar putea să invite hackeri.

În mod similar, accesați partea din spate a WordPress și verificați dacă aveți fișiere inutile comparându-le cu fișierele implicite WordPress.

Sau ați putea face o nouă instalare a WordPress.

Mai întâi, faceți backup pentru bazele de date și WordPress. Apoi, eliminați WordPress. Și, instalați un nou WordPress actualizat.

Asigurați-vă că vă informați vizitatorii în timpul întreținerii afișând o pagină de întreținere.

13. Securizează .htaccess și wp-content.php

Numai Cel Atotputernic știe ce pot face hackerii dacă accesează fișierul tău .htaccess sau wp-content.php.

Deci, ar trebui să ascundeți întotdeauna fișierele .htaccess și wp-content.php. Chiar dacă nu știți să codificați, puteți securiza cu ușurință .htaccess și wp-content.php inserând câteva coduri în fișierul .htaccess.

Vă rugăm să păstrați o copie de rezervă a fișierului .htaccess înainte de a-i face modificări.

Găsiți fișierul .htaccess de la rădăcina site-ului dvs. și adăugați următoarele linii de cod la acesta.

Cod pentru a ascunde wp-config.php

Cod pentru a ascunde fișierul .htaccess

14. Ascundeți informațiile sensibile

Asigurați-vă că eliminați (sau cel puțin redenumiți) fișierul readme.html după ce instalați WordPress. Fișierul Readme va spune hackerilor ce versiune de WordPress utilizați.

De asemenea, dacă ați creat un fișier phpinfo.php sau i.php, vă recomand să îl ștergeți sau să îl redenumiți. Acest fișier conține toate informațiile despre serverul dvs.

În plus, dezactivați indexarea directoarelor. Atacatorii pot vedea structura folderelor și fișierelor dvs. cu navigarea în directoare. Nu trebuie să fii priceput la tehnologie pentru a o face. Doar mergeți la fișierul .htaccess și adăugați următorul cod la sfârșitul fișierului.

15. Rămâi înainte și la curent

Hackerii sunt întotdeauna cu un pas înaintea tuturor experților în securitate. De fapt, un expert în securitate nici nu ar ști despre o gaură de securitate până când cineva intră într-un sistem.

Prin urmare, păstrați-vă întotdeauna informat și la curent cu știrile și problemele de securitate. Urmărește companiile de securitate pe Twitter sau Facebook sau chiar abonează-te la buletinele lor informative.

Kerbsonsecurity este un blog grozav pentru a vă ține la curent cu problemele de securitate.

Concluzie

Faceți jocul de ghicituri dificil pentru hackeri!

Nu puteți opri hackerii să pirateze. Tot ce poți face este să fii pregătit pentru atacuri.

Băieții buni lucrează din greu pentru a proteja WordPress de hackeri, dar se întâmplă greșeli.

Păstrați întotdeauna o copie de rezervă a site-ului dvs., doar în cazul în care hackerii preiau site-ul dvs. Păstrați copia de rezervă într-un loc(e) sigur(e (mai multe locuri, dacă este posibil).

În cele din urmă, urmați toate cele 15 sfaturi menționate mai sus pentru a asigura un site WordPress. Și păstrați-vă actualizate, temele, pluginurile și WordPress!

Fie ca forța să fie cu tine.