Ghid de securitate WordPress: Securizarea WordPress 2022

Publicat: 2022-02-17

Imagineaza asta:

Îți deschizi site-ul WordPress, cu ochi strălucitori, cu coadă stufoasă și gata să-ți încarci cea mai recentă postare pe blog... doar pentru a fi întâmpinați de o grămadă de conținut ciudat care îi direcționează pe oameni să cumpere pastile farmaceutice de pe site-uri web insignifiante.

Este cel mai rău coșmar al majorității webmasterilor, dar este ceva ce se poate întâmpla cu site-ul tău WordPress... dacă nu implementezi cele mai bune practici de securitate potrivite.

Nu încercăm să vă sperii – WordPress este sigur. Are o echipă de securitate dedicată și o armată de colaboratori și dezvoltatori cunoscători pentru a ajuta la menținerea așa.

Dar dacă nu construiți pe această bază sigură urmând cele mai bune practici de securitate WordPress, ați putea deschide ușa actorilor rău intenționați pentru a-și introduce colții în site-ul dvs. web.

În această postare, suntem aici pentru a vă ajuta să aflați care sunt acele bune practici, astfel încât să puteți împiedica acei scenarii de coșmar să devină realitate.

În acest scop, vom acoperi următoarele secțiuni:

  • Este WordPress sigur?
  • De ce nu ar trebui să așteptați să vă puneți în ordine securitatea
  • 21 de lucruri pe care le puteți face cu privire la securitate chiar acum
  • Riscurile unei breșe de securitate
  • Cum să afli dacă site-ul tău a fost piratat
  • Trei pluginuri de securitate WordPress de top
  • Trei cele mai importante tactici de securitate de implementat
  • Monitorizarea și remedierea breșelor de securitate WordPress

Deși ți-ar putea lua câteva ore să lucrezi la cele mai bune practici din această postare, această investiție mică acum va aduce dividende în viitor sub forma unui site WordPress sigur, rezistent la glonț.

Este WordPress Securizat?

WordPress alimentează peste 43% din toate site-urile web de pe internet, ceea ce înseamnă că este o țintă suculentă pentru actorii rău intenționați.

Faptul că WordPress este atât de popular înseamnă, de asemenea, că este folosit de o mare varietate de oameni, inclusiv de oameni cu niveluri de cunoștințe foarte diferite. Gândiți-vă la un dezvoltator cu experiență față de cineva care tocmai își lansează primul blog... și toată lumea între ele.

Sunt vești bune și vești proaste aici...

Vești bune:

WordPress este sigur. De aceea este folosit de atât de mulți oameni obișnuiți, precum și de mari organizații precum Casa Albă din SUA și Facebook.

WordPress este folosit de marile branduri care apreciază securitatea

Facebook și Casa Albă nu ar încrede site-urile lor unei platforme nesigure. În plus, 43% dintre site-urile de pe Internet nu ar rula pe WordPress dacă nu ar fi securizat.

Vești proaste :

Multe site-uri WordPress sunt sparte. În rapoartele site-urilor piratate ale Sucuri, WordPress este de obicei cea mai piratată platformă ( rețineți – este super popular ).

Deci – cum poate WordPress să fie în siguranță și , de asemenea, să aibă site-uri piratate? Nu sunt acele lucruri care se exclud reciproc?

Ei bine, răspunsul este în întregime în modul în care oamenii folosesc WordPress.

Dacă sunteți proactiv în ceea ce privește respectarea celor mai bune practici de securitate, cum ar fi cele pe care le vom acoperi în această postare, vă puteți păstra site-ul WordPress în siguranță și puteți evita problemele.

WordPress are un aparat de securitate mare, inclusiv o echipă oficială de securitate de peste 50 de membri și o serie de dezvoltatori experimentați care construiesc extensii sigure și semnalează potențiale probleme.

Acești oameni fac o treabă grozavă în a securiza WordPress – dar trebuie totuși să-ți faci partea ta dacă vrei să-l păstrezi așa.

Dacă nu vă bazați pe munca grea a acelor contribuitori WordPress și nu urmați cele mai bune practici, puteți face greșeli care deschid găuri în software-ul WordPress, fie că este vorba de utilizarea unei parole slabe, de instalarea unui plugin vulnerabil sau de altceva.

De ce nu ar trebui să așteptați să vorbiți serios despre securitatea WordPress

Securitatea WordPress este unul dintre acele lucruri care se simt ca și cum nu este o problemă mare... până când este o afacere foarte mare .

Aveți o mulțime de lucruri pe plan în ceea ce privește marketingul și creșterea site-ului dvs., așa că este ușor să împingeți securitatea în spate, deoarece este greu să legați îmbunătățirea securității cu valorile de creștere, cum ar fi traficul sau veniturile.

Suntem puțin sinceri aici, dar acea linie de gândire este incredibil de miop. Implementarea listei de verificare a securității WordPress de mai jos necesită ceva timp și, potențial, puțini bani, dar aceste costuri palid în comparație cu ceea ce veți „plăti” dacă site-ul dvs. este încălcat.

O încălcare a securității te va „costa” cu ușurință mai mult în termeni de timp pierdut, venituri, trafic SEO și încredere în vizitatorii tăi.

Practic, nu vrei să pariezi cu securitatea site-ului tău. Acordați timp acum pentru a vă proteja de un cost uriaș mai târziu.

20 de lucruri pe care le puteți face chiar acum despre securitatea WordPress

Până acum am vorbit despre teorie. Acum, să începem să trecem la câteva tactici acționabile pentru blocarea site-ului dvs., începând cu o listă de verificare a securității WordPress pe care o puteți implementa pentru a vă proteja site-ul astăzi.

1. Înțelegeți temele de securitate de bază pentru WordPress

Înainte de a schimba ceva pe site-ul dvs., veți dori să înțelegeți temele de bază ale securității WordPress:

  • Limitați accesul – limitați accesul la site-ul dvs., atât prin metode preconizate (conturi de utilizator), cât și prin metode neintenționate (vulnerabilități).
  • Conține probleme – dacă un actor rău intenționat obține acces, doriți să limitați daunele pe care le poate face.
  • Folosiți doar părți terțe de încredere – în timp ce nucleul WordPress este securizat, fiecare extensie pe care o adăugați site-ului dvs. reprezintă o potențială vulnerabilitate.

2. Aplicați prompt actualizările WordPress

Pentru a vă proteja site-ul de vulnerabilitățile de securitate emergente, este esențial să aplicați cu promptitudine actualizările de bază ale WordPress, actualizările pluginurilor și actualizările temei. Acest lucru este valabil mai ales pentru actualizările de securitate, pe care ar trebui să le aplicați imediat*.

*Actualizările de securitate au două puncte în numărul versiunii – de exemplu 5.9.1. Puteți aștepta să aplicați actualizări majore ale caracteristicilor, care au doar un singur punct – de exemplu 5.9.

3. Folosiți parole puternice pentru orice

Utilizarea parolelor puternice și unice pentru contul dvs. de administrator WordPress, contul de găzduire și alte instrumente (de exemplu, acreditările SFTP) poate contribui în mare măsură la prevenirea atacurilor cu forță brută și a altor tipuri de atacuri bazate pe conectare.

Pentru a stoca parolele în siguranță, puteți utiliza un manager de parole precum Bitwarden sau LastPass. Acești manageri de parole vă pot ajuta, de asemenea, să generați parole unice.

4. Folosiți pluginuri de încredere

Instalați numai pluginuri de la dezvoltatori de încredere care încă întrețin în mod activ pluginul pentru a ține cont de noile versiuni WordPress și de vulnerabilitățile nou descoperite.

5. Asigurați-vă computerul

Asigurați-vă că computerul pe care îl utilizați pentru a vă accesa site-ul WordPress este curat. Utilizați software antivirus de calitate și efectuați scanări regulate de malware.

6. Blocați pagina dvs. de conectare

Pe lângă utilizarea parolelor puternice, vă puteți proteja pagina de autentificare folosind tactici precum limitarea încercărilor de conectare și autentificarea cu doi factori. Puteți realiza acest lucru cu pluginuri gratuite specifice funcției, cum ar fi Limitarea încercărilor de conectare reîncărcate și Autentificarea cu doi factori. Sau, puteți folosi unele dintre pluginurile de securitate WordPress largi pe care le vom discuta mai târziu în această postare.

De asemenea, puteți modifica adresa URL de conectare WordPress. Deși acest lucru nu adaugă multă securitate suplimentară de conectare dacă implementați sfaturile de mai sus, poate reduce traficul de bot.

7. Faceți copii de rezervă regulate

Efectuarea de copii de rezervă regulate și stocarea lor într-un loc lung este un element uriaș al securității WordPress. Dacă aveți o copie de rezervă recentă, o încălcare a securității în cel mai rău caz este un inconvenient în loc de o catastrofă când vine vorba de datele site-ului dvs.

Majoritatea gazdelor WordPress gestionate oferă backup automat în afara site-ului în zilele noastre. Dacă nu, puteți utiliza un plugin precum UpdraftPlus.

8. Utilizați Secure Hosting

Utilizați o gazdă WordPress de înaltă calitate care implementează protocoale de securitate solide, cum ar fi firewall-uri și scanări malware. Deși nu ar trebui să vă bazați doar pe gazda dvs., o gazdă WordPress de calitate poate contribui mult la securizarea site-ului dvs. WordPress.

9. Instalați un certificat SSL și utilizați HTTPS

Asigurați-vă că ați instalat un certificat SSL și că ați configurat site-ul pentru a forța tot traficul către versiunea HTTPS securizată. Acest lucru asigură că toate datele care trec între browserul web al unui vizitator și serverul site-ului dvs. sunt criptate.

Puteți consulta echipa de asistență sau documentația gazdei dvs. pentru a afla cum să instalați un certificat SSL, iar pluginuri precum Really Simple SSL vă pot ajuta să forțați traficul HTTPS pe site-ul dvs.

10. Folosiți SFTP și nu stocați parole

Asigurați-vă că utilizați SFTP atunci când vă conectați la serverul site-ului dvs., mai degrabă decât FTP simplu (care este necriptat). În plus, încercați să evitați stocarea parolelor dvs. SFTP în clientul dvs. FTP decât dacă sunt criptate și protejate cu parolă.

11. Dezactivați XML-RPC

XML-RPC ajută unele aplicații, cum ar fi o aplicație pentru iPhone, să se conecteze la site-ul dvs. WordPress. Majoritatea oamenilor nu vor folosi niciodată aceste aplicații pentru a se conecta, ceea ce înseamnă că XML-RPC este doar un vector de vulnerabilitate inutil pentru atacurile cu forță brută sau DDoS.

Din acest motiv, majoritatea oamenilor dezactivează XML-RPC, lucru pe care îl puteți realiza cu un plugin precum Disable XML-RPC sau unul dintre pluginurile de securitate generale despre care vom discuta mai târziu.

12. Dezactivați editarea fișierelor

În mod implicit, WordPress permite utilizatorilor administratori să editeze direct fișierele de temă și plugin din tabloul de bord WordPress, ceea ce reprezintă o vulnerabilitate uriașă dacă un actor rău intenționat primește vreodată acces la tabloul de bord.

Puteți să-l dezactivați adăugând o linie în fișierul dvs. wp-config.php .

13. Monitorizați problemele de securitate

Punerea în aplicare a politicilor regulate de monitorizare a securității vă poate ajuta să identificați probleme înainte ca acestea să devină probleme mai mari. Vom vorbi despre practicile de monitorizare adecvate mai târziu în această postare.

14. Securizați fișierele și folderele WordPress cu cheie

Unele fișiere și foldere WordPress sunt deosebit de vulnerabile, așa că veți dori să acordați o atenție deosebită securizării fișierului wp-config.php și a folderelor wp-admin și wp-includes .

15. Implementați permisiunile corespunzătoare pentru fișiere

Permisiunile fișierelor controlează accesul pe care utilizatorii și programele îl au la fișierele și folderele de pe serverul dvs. de găzduire. Dacă sunt configurate incorect, pot oferi actorilor rău intenționați acces la fișiere importante, cum ar fi fișierul wp-config.php sau fișierul .htaccess .

Pentru a afla permisiunile adecvate pentru WordPress, puteți citi această pagină WordPress.org.

16. Luați în considerare înregistrarea activității

Înregistrarea activității vă permite să urmăriți ceea ce se întâmplă pe site-ul dvs., ceea ce vă poate ajuta să detectați comportamentul suspect înainte ca acesta să devină o problemă majoră.

Pentru a configura înregistrarea activității, puteți utiliza un plugin specializat, cum ar fi WP Activity Log. Sau, unele pluginuri de securitate pentru toate scopurile WordPress includ și funcționalitate de înregistrare.

17. Adăugați cele mai recente anteturi de securitate

Antetele de securitate HTTP pot ajuta la securizarea site-ului dvs. controlând modul în care browserele web interacționează cu conținutul site-ului dvs. De obicei, le veți configura la nivel de server – KeyCDN are o postare grozavă care explică cele mai importante anteturi de securitate.

18. Asigurați-vă baza de date

Folosirea unui prefix unic de tabelă a bazei de date și a unui nume unic de bază de date poate face ușor mai dificil pentru actorii rău intenționați să injecteze conținut rău intenționat în baza de date, deși unii experți dezbat utilitatea acestuia. Având în vedere că această modificare este ușor de aplicat, merită totuși, chiar dacă este o cantitate mică de „securitate prin obscuritate”.

19. Dezactivați Hotlinking

A avea alte site-uri conectarea la imaginile dvs. ar putea să nu fie un risc direct de securitate, dar poate avea un efect negativ asupra serverului dvs. în ceea ce privește resursele irosite, așa că este o practică bună de securitate să dezactivați legătura rapidă.

20. Configurați în avans protecția DDoS

Aveți un plan pentru a face față atacurilor distribuite de tip denial of service. Puteți să întrebați gazda despre protecțiile pe care le au sau să adăugați site-ul dvs. la Cloudflare, astfel încât să puteți activa rapid modul „Sunt atacat” al lui Cloudflare, dacă este necesar.

Care sunt riscurile atunci când un site este încălcat?

Există trei tipuri principale de riscuri dacă site-ul dvs. este încălcat...

Riscuri pentru vizitatorii dvs. web

Dacă stocați date despre vizitatorii dvs., actorii rău intenționați ar putea avea acces la toate aceste informații, ceea ce ar putea cauza probleme cu furtul de identitate sau furtul financiar, în funcție de datele pe care le stocați.

Actorii rău intenționați ar putea încerca, de asemenea, să păcălească utilizatorii să descarce fișiere rău intenționate și să-și infecteze computerele.

Riscuri pentru proprietarii site-urilor

O încălcare a securității poate cauza probleme directe sub formă de date pierdute, timp pierdut și indisponibilitate a site-ului. Dacă nu mențineți backup-uri regulate ( ceea ce sperăm că nu este cazul după ce ați citit acest ghid ), s-ar putea chiar să vă pierdeți întregul site și să fie nevoie să reconstruiți de la zero.

O încălcare poate cauza, de asemenea, probleme mai puțin tangibile, cum ar fi pierderea încrederii în vizitatorii dvs. sau daune generale reputației.

Risc pentru alte site-uri

Dacă utilizați găzduire partajată și/sau găzduiți unele dintre celelalte site-uri pe același cont de găzduire, un site care este încălcat se poate răspândi rapid pe alte site-uri dacă site-urile nu sunt strâns izolate unele de altele. În acest fel, a avea un site infectat poate acționa ca un domino pentru a elimina alte site-uri, chiar dacă acele site-uri ar fi altfel securizate.

Cum să-ți dai seama dacă site-ul tău WordPress a fost piratat

Există două moduri prin care puteți afla site-ul dvs. a fost piratat:

  • Semne reactive – descoperiți o problemă deoarece vedeți problema pe site-ul dvs.
  • Semne proactive – protocoalele dvs. de monitorizare a securității vă avertizează asupra problemei înainte ca aceasta să se manifeste pe site-ul dvs.

În mod ideal, doriți să utilizați instrumente care vă permit să remediați problemele în mod proactiv, în loc să așteptați ca acestea să devină o problemă. În acest fel, puteți minimiza daunele aduse site-ului dvs.

Semne reactive de hacking

  • Alertă browser – majoritatea browserelor vor afișa un avertisment dacă vizitați o pagină infectată. Dacă asta se întâmplă atunci când vizitezi propriul tău site, știi că ai o problemă.
  • Alertă motor de căutare – Google va alerta și vizitatorii dacă fac clic pe un link care duce la un site infectat. Scrie ceva de genul „Acest site poate fi spart”.
  • Servicii pentru webmasteri – dacă utilizați Google Search Console, Google vă va avertiza cu privire la problemele de securitate dacă accesați Securitate și acțiuni manuale → Probleme de securitate .
  • Vizitatori web – dacă vizitatorii web se confruntă cu conținut rău intenționat, ți-ar putea spune direct.
Google Chrome afișează un avertisment dacă un site este infectat cu programe malware

Semne proactive de hacking

  • Scaner de programe malware – un scaner de programe malware poate detecta codul rău intenționat pe serverul dvs. chiar dacă acesta nu a început să afecteze interfața site-ului dvs.
  • Verificări ale integrității fișierelor – dacă fișierele de bază WordPress nu se potrivesc cu versiunile oficiale, acesta este un semn că ceva ar putea fi în neregulă pe site-ul tău. Majoritatea pluginurilor de securitate vă vor avertiza automat dacă un fișier de bază a fost modificat.
  • Monitorizarea traficului – monitorizarea traficului site-ului dvs. WordPress vă va ajuta să detectați neregulile pe măsură ce acestea se produc.
Pluginul Wordfence oferă scanări de securitate WordPress

Trei cele mai bune pluginuri și instrumente de securitate WordPress

Dacă doriți un plus de liniște atunci când vine vorba de securitatea WordPress, puteți lua în considerare utilizarea unui plugin sau serviciu dedicat de securitate WordPress.

Deși aceste instrumente nu elimină complet nevoia de a fi vigilenți, ele pot gestiona majoritatea celor mai bune practici de securitate WordPress pentru dvs.

Iată trei dintre cele mai bune:

1. Wordfence

Wordfence este unul dintre cele mai bune pluginuri de securitate WordPress

Wordfence este cel mai popular plugin de securitate WordPress la WordPress.org. Are un set cuprinzător de caracteristici care poate proteja și monitoriza toate zonele de securitate ale site-ului dvs.:

  • Firewall pentru aplicații web (WAF) pentru a bloca în mod proactiv amenințările înainte ca acestea să vă dăuneze site-ul. Include un set de definiții care se actualizează constant pentru a bloca amenințările emergente.
  • Scanare de programe malware și de securitate pentru a detecta infecții sau vulnerabilități de securitate.
  • Caracteristici de securitate pentru autentificare, inclusiv limitarea încercărilor de autentificare, autentificare cu doi factori, protecție prin parolă scursă, dezactivare/întărire XML-RPC și multe altele.
  • Înregistrare în timp real pentru a detecta actori rău intenționați.
  • Notificări pentru a vă alerta instantaneu cu privire la probleme potențiale de pe site-ul dvs.
  • Multe alte tactici mai mici de întărire, inclusiv detectarea modificării fișierelor.
  • Tabloul de bord central de securitate care vă permite să gestionați securitatea mai multor site-uri dintr-un singur loc.

Există o versiune gratuită la WordPress.org și Wordfence Premium începe de la 99 USD.

2. Sucuri

Sucuri este un plugin și un firewall

Sucuri sunt două lucruri:

  1. Un plugin gratuit la WordPress.org care implementează practici de bază de consolidare a securității.
  2. Un serviciu de firewall plătit care se află în fața serverului dvs. și blochează traficul rău intenționat înainte ca acesta să ajungă pe site-ul dvs.

Pentru cea mai bună protecție, veți dori să utilizați ambele instrumente.

Pluginul gratuit Sucuri implementează următoarele caracteristici de întărire a securității:

  • Monitorizarea integrității fișierelor
  • Jurnalele de audit
  • Monitorizare automată a listei negre
  • Opțiuni de bază de întărire, cum ar fi dezactivarea editării fișierelor și blocarea anumitor fișiere PHP
  • Monitorizarea autentificată eșuată pentru a detecta atacurile de forță brută
  • Alerte automate de securitate prin e-mail

Pentru a utiliza serviciul de firewall, vei schimba serverele de nume ale domeniului tău în Sucuri, iar firewall-ul Sucuri vă va proteja site-ul la nivel de rețea.

Pluginul Sucuri este gratuit, dar firewall-ul începe de la 10 USD pe lună. De asemenea, puteți plăti pentru un plan complet de securitate a site-ului web, care include curățarea și eliminarea programelor malware. Aceste planuri încep de la 200 USD pe an.

3. iThemes Security

iThemes Security Pro pentru WordPress

iThemes Security este un alt instrument popular care vă poate ajuta să vă consolidați site-ul și să îl monitorizați pentru probleme de securitate.

Iată cu ce vă poate ajuta:

  • Scannerul site -ului va detecta automat vulnerabilitățile cunoscute de pe site-ul dvs.
  • Protecție pentru autentificare, inclusiv autentificare cu doi factori, limitarea încercărilor de conectare, dispozitive de încredere, cerințe puternice pentru parole și multe altele.
  • Jurnalele de securitate, inclusiv înregistrarea evenimentelor de securitate și înregistrarea activității utilizatorului.
  • Detectarea modificării fișierelor pentru a vedea dacă fișierele de bază au fost modificate.
  • Notificări prin e-mail pentru a vă alerta instantaneu cu privire la potențiale probleme de securitate.
  • Întărirea generală a WordPress, inclusiv dezactivarea XML-RPC, dezactivarea editării fișierelor, verificarea permisiunilor fișierelor și multe altele.

O caracteristică pe care iThemes Security nu o oferă este un firewall – dezvoltatorii recomandă să îl asociezi cu serviciul firewall al Sucuri dacă vrei un firewall.

Deși există o versiune gratuită limitată a iThemes Security la WordPress.org, veți dori iThemes Security Pro pentru cea mai bună protecție. Începe de la 80 USD.

Concentrați-vă pe aceste trei lucruri pentru cel mai mare ROI de securitate WordPress

Ca multe lucruri în viață, securitatea WordPress urmează principiul 80/20 Pareto. Adică, concentrarea asupra a câteva tactici fundamentale de securitate WordPress vă va ajuta cel mai mult să aveți un site securizat.

Deci, deși credem cu siguranță că este important să urmați lista de verificare a securității WordPress pe care am împărtășit-o mai sus, concentrarea pe doar trei domenii vă va proteja de majoritatea problemelor legate de securitatea WordPress.

Hai sa trecem prin ele...

1. Pluginuri

În timp ce software-ul de bază WordPress este sigur ( atâta timp cât îl țineți actualizat ), pluginurile introduc variabile pentru care echipa de bază nu le poate controla, ceea ce le face unul dintre cei mai mari vectori de atac pentru actorii rău intenționați.

Cu toate acestea, pluginurile sunt, de asemenea, o parte esențială a WordPress, așa că a nu le folosi nu este o opțiune realistă.

Iată trei moduri de a continua să beneficiezi de pluginuri minimizând în același timp riscurile:

  • Evitați pluginurile abandonate – dacă un plugin nu mai este întreținut, înseamnă că nu este nimeni acolo care să remedieze problemele nou descoperite și să-l mențină compatibil cu versiunile mai noi de WordPress.
  • Cumpărați numai de la dezvoltatori reputați – utilizați dezvoltatori de încredere, cum ar fi HeroThemes, care urmează cele mai bune practici de securitate WordPress și sunt la curent cu amenințările emergente.
  • Actualizați în mod regulat – chiar și cele mai bune plugin-uri de la cei mai buni dezvoltatori pot avea uneori vulnerabilități nou descoperite. Dezvoltatorii de calitate vor corecta aceste vulnerabilități înainte ca acestea să devină o problemă – atâta timp cât actualizați prompt.

2. Atacurile de forță brută

Atacurile cu forță brută sunt un vector de atac comun care se bazează pe accesarea site-ului dvs. prin intermediul paginii de conectare. Nu contează cât de sigur este restul site-ului dvs. – dacă un actor rău intenționat vă poate ghici numele de utilizator și parola, el deține cheile de la ușa din față.

Iată cum să te protejezi:

  • Utilizați parole puternice, unice – alegeți o parolă puternică pentru toate conturile și nu reutilizați aceeași parolă în mai multe locuri.
  • Limitați încercările de conectare – împiedicați oamenii să forțeze brutal pagina dvs. de autentificare limitând încercările eșuate de autentificare și/sau adăugând un CAPTCHA.
  • Luați în considerare autentificarea cu doi factori – pentru și mai multă securitate, puteți lua în considerare utilizarea autentificării în doi factori prin SMS sau, în mod ideal, o aplicație pentru smartphone sau cheie hardware.
  • Nume de utilizator unic – nu utilizați „admin” ca nume de utilizator și încercați să vă faceți numele de utilizator greu de ghicit.
Un exemplu de limitare a încercărilor de conectare pe WordPress

3. Cont de gazduire

Site-ul dvs. WordPress ar putea fi blocat perfect; dar dacă un actor rău intenționat obține acces la contul dvs. de găzduire, poate face aproape orice dorește pe site-ul dvs.

Pentru a opri acest lucru, este esențial să vă blocați contul și serverul de găzduire:

  • Utilizați parole puternice - ca și în cazul contului dvs. WordPress, utilizați parole puternice și unice pentru conturile dvs. de găzduire și SFTP.
  • Activați autentificarea cu doi factori – majoritatea furnizorilor de găzduire acceptă autentificarea cu doi factori – profitați de aceasta.
  • Utilizați SFTP - conectați-vă întotdeauna prin SFTP și nu prin FTP necriptat.
  • Nu stocați parole SFTP – nu stocați parole SFTP necriptate în clientul dvs. FTP.

Monitorizarea, identificarea și remedierea încălcărilor de securitate WordPress

Dacă implementați toate tacticile de securitate WordPress de mai sus, sperăm că nu ar trebui să aveți niciodată de-a face cu o încălcare a securității.

Cu toate acestea, este întotdeauna posibil ca ceva să treacă prin fisuri, motiv pentru care este important să existe un plan pentru a detecta și a remedia problemele de securitate.

Monitorizare pentru vulnerabilități

  • Scanați-vă site-ul – utilizați instrumente precum Sucuri SiteCheck pentru a detecta problemele din lista neagră și pentru a vă scana serverul cu un plugin de securitate.
  • Google Search Console – acordați atenție avertismentelor din secțiunea probleme de securitate.
  • Utilizați comanda site-ului Google în căutare – căutați site:yoursite.com pentru a vedea dacă Google are conținut indexat care pare rău intenționat. Acesta poate fi conținut pe care nu l-ați creat sau conținut cu titluri/meta descrieri ciudate.
  • Jurnal de activitate – răsfoiți jurnalul de activitate al site-ului dvs. pentru a detecta activități suspecte.
  • Verificați analizele – căutați scăderi sau vârfuri inexplicabile în analiza de trafic.
  • Fișier .htaccess – acordați atenție modificărilor aduse fișierului dvs. .htaccess, deoarece aici mulți actori vor plasa redirecționări rău intenționate sau vor stabili reguli user-agent pentru a-și ascunde spam-ul SEO de vizitatorii umani.
Un exemplu de verificare pe lista neagră în Sucuri SiteCheck

Identificați problemele

Odată ce eforturile dvs. de monitorizare au detectat ceva care merge prost, este timpul să identificați problema specifică de pe site-ul dvs., astfel încât să o puteți remedia și să vă puneți site-ul în funcțiune. Pentru a face acest lucru, puteți utiliza un plugin de securitate pentru a vă scana site-ul și a identifica fișierele rău intenționate și ușile din spate.

Repararea site-ului dvs

După ce ați identificat problema specifică, este timpul să vă remediați site-ul.

Există câteva rute diferite pe care le puteți urma aici, în funcție de severitatea infecției și de nivelul dvs. de cunoștințe:

  • Utilizați un plugin de securitate – multe pluginuri de securitate oferă remedieri cu un singur clic, fie prin curățarea fișierului, fie prin derularea site-ului dvs. la o versiune curată.
  • Angajați un expert – dacă vă simțiți copleșit, puteți plăti pentru un serviciu expert, cum ar fi Securitatea site-ului Sucuri sau Serviciile de curățare a site-ului Wordfence.
  • Efectuați o curățare manuală – dacă aveți cunoștințe tehnice, vă puteți curăța site-ul manual – MalCare are un ghid detaliat despre cum să efectuați o curățare manuală.

Dacă site-ul dvs. a fost inclus pe lista neagră de către Google, veți dori, de asemenea, să solicitați o examinare după curățarea site-ului. Puteți face acest lucru din secțiunea Probleme de securitate din Google Search Console.

Păstrați-vă site-ul WordPress în siguranță

WordPress este sigur, dar modurile în care oamenii folosesc WordPress nu sunt întotdeauna sigure.

A lua puțin timp acum pentru a crea un plan proactiv pentru securitatea WordPress va aduce dividende sub forma unui site securizat și evitând nevoia de a face față unei breșe în viitor.

Puteți implementa sfaturile din această postare și puteți urma o listă de verificare a securității WordPress, cum ar fi lista de verificare a Wordfence. Dacă doriți o mână de ajutor, puteți obține și ajutor de la un dezvoltator sau puteți angaja un serviciu de întreținere WordPress.

De asemenea, securitatea WordPress nu este ceva în care ești singur. Aveți întreaga comunitate WordPress pe site-ul dvs. care vă ajută să creați site-uri mai sigure.

Aici, la HeroThemes, ne concentrăm pe crearea de pluginuri și teme sigure și de încredere, care vă permit să vă extindeți site-ul WordPress, păstrându-l în același timp securizat. Există o mulțime de alți dezvoltatori care fac același lucru.

Dacă respectați extensii ca acestea și urmați alte bune practici de securitate, vă puteți bucura de beneficiile unui site WordPress securizat.