Securitate WordPress: Cum să identifici și să elimini amenințările

Publicat: 2018-05-11

Scuze precum „Suntem prea mici pentru un atac” sau „Nu procesăm date sensibile, cum ar fi rapoartele financiare” nu mai sunt relevante. S-a dovedit în mod repetat că toate site-urile web, indiferent de dimensiunea lor, sunt vulnerabile și pot cădea în capcana hackerilor.

Dacă abordați site-ul dvs. profesional, ar trebui să acordați atenție celor mai bune practici de securitate pentru WordPress. Vom împărtăși o listă exhaustivă de sfaturi pentru a vă proteja site-ul WordPress de hackeri și programe malware.

În calitate de proprietar de site, aveți capacitatea de a îmbunătăți securitatea WordPress, chiar dacă nu știți să codificați și nu doriți să intrați în labirintul complicațiilor sale.

Am pregătit o instrucțiune pas cu pas și am creat navigație pentru a nu întâmpina dificultăți când parcurgeți materialul. Puteți ajunge rapid la fragmentul potrivit de text, iar la sfârșitul citirii site-ul dvs. web va fi mult mai sigur decât majoritatea resurselor de pe web.

De ce este importantă securitatea?

Un site WordPress piratat vă poate afecta grav afacerea și reputația. Hackerii pot fura informații despre utilizatori, parole, pot instala programe malware și pot distribui troieni printre utilizatorii tăi.

În 2017, Google a raportat că peste 55 de milioane de utilizatori au fost avertizați despre vizitarea site-urilor web cu programe malware. În fiecare săptămână, Google face o listă cu peste 20.000 de programe rău intenționate.

Dacă site-ul dvs. este afacerea dvs., trebuie să acordați mai multă atenție securității sale. Numai dvs. sunteți responsabil pentru protejarea resurselor de intruși. După cum se afirma în Codexul de securitate WordPress: „În principiu, securitatea nu se referă la sisteme perfect sigure. Un astfel de lucru ar putea fi foarte practic nepractic sau imposibil de găsit și/sau întreținut. Totuși, ceea ce este securitatea este reducerea riscului, nu eliminarea riscului. Este vorba despre utilizarea tuturor controalelor adecvate disponibile pentru tine, în limita rațiunii, care îți permit să-ți îmbunătățești poziția generală reducând șansele de a te face o țintă, ca ulterior să fii piratat.”

Luați-vă timp și parcurgeți următoarele bune practici, precum și verificați unele dintre strategiile de securitate WordPress dovedite în industrie, cum ar fi utilizarea software-ului WordPress actualizat, o politică puternică de acreditări și administrarea sistemului centrată pe securitate.

Tipuri de vulnerabilități

Vulnerabilitatea obișnuită în WordPress sunt securitatea scăzută a temelor, vulnerabilitățile serverelor, bazelor de date, permisiunile de fișiere, FTP și anumite componente ale fișierelor, cum ar fi wp-admin, wp-config și wp-includes. Sunt cei mai predispuși la atacuri.

Numeroase incidente de hacking au arătat cât de ușor este pentru intruși să folosească linkuri neprotejate în serviciile de securitate WordPress în avantajul lor. O vulnerabilitate poate expune site-ul dvs. la mii de atacuri. De exemplu, la începutul lunii februarie, infractorii cibernetici au lansat o campanie la scară largă în care site-urile WordPress compromise redirecționau vizitatorii către domenii cu un set de exploit -uri .

Exploit este o bucată de cod care poate folosi lacune în site-ul dvs. WordPress și permite hackerilor să pirateze sistemul. Cu alte cuvinte, este un software care caută elemente neprotejate pe site-ul tău web și le atacă.

Exploit-urile se formează ca urmare a erorilor programatorilor care nu acordă o atenție adecvată securității resursei. Când se descoperă un exploit, trebuie să creați un patch care să elimine această vulnerabilitate.

Într-o altă serie de atacuri, hackerii au exploatat o vulnerabilitate din fișierul XML-RPC.

XML-RPC este un protocol de apel de procedură la distanță (RPC) care utilizează XML pentru a-și codifica apelurile și HTTP pentru a trimite solicitări sau comenzi către site-uri web de la distanță. Dacă nu doriți să oferiți hackerilor o șansă suplimentară de a vă sparge resursa, puteți să o ștergeți pur și simplu. Când este nevoie, îl puteți restaura.

Injecția SQL este cea mai comună modalitate de a ataca o bază de date ocolind firewall-urile atunci când hackerii trimit solicitări SQL speciale către un site web. Aceste injecții de cod pot crea noi conturi de administrator care se pot conecta la site-uri rău intenționate sau înșelătorii din resursa dumneavoastră.

Cum să preveniți injecțiile SQL?

Mesajele de eroare sunt utilizate în principal pentru a prelua informații sensibile despre un site web. Deci, fie ar trebui să fie dezactivate, fie trebuie create mesaje de eroare personalizate. Experții în securitate cibernetică de la serviciile de dezvoltare WordPress spun că criptarea SHA1 sau SHA ar trebui utilizată pentru toate informațiile și parolele confidențiale. Limitarea numărului de permisiuni acordate va reduce probabilitatea unor astfel de atacuri rău intenționate.

Atacurile de forță brută

Atacul cu forță brută constă în încercări de a obține combinația corectă de autentificare și parolă prin metoda de încercare și eroare. Este cel mai simplu mod prin care hackerii încearcă să acceseze datele de conectare. Acest tip de atac poate fi executat în diverse moduri, fiecare metodă încercând în mod repetat să ghicească combinația dintre login și parolă. Este o tactică comună folosită de boți, deoarece nu există restricții cu privire la numărul de încercări de autentificare la WordPress. Dacă atacul are succes, informațiile sensibile ale site-ului și ale afacerii dvs. pot fi în pericol. Chiar dacă eșuează, sistemul dumneavoastră poate fi supraîncărcat.

Cum să faci față atacurilor cu forță brută?

Cea mai bună modalitate este de a activa o politică de blocare care elimină încercările de conectare nelimitate. Întârzierile progresive pot fi folosite și atunci când contul este blocat pentru o anumită perioadă de timp. Instrumente precum Captcha vă vor ajuta, deși acest lucru va afecta capacitatea de utilizare a site-ului web. Crearea de parole complexe pentru a combate aceste tipuri de atacuri poate fi de asemenea utilă.

Scripturi între site-uri

Aproape 84% dintre toate încălcările de securitate din WordPress sunt atacuri Cross-Site Script sau XSS. Acest tip de vulnerabilitate poate fi găsit cel mai adesea în pluginurile WordPress. Aici, un intrus folosește o aplicație web pentru a trimite scripturi și coduri rău intenționate către site-uri sigure și de încredere, printre care ar putea fi și al dvs. Ca rezultat, fișierele JavaScript rău intenționate sunt descărcate pe o pagină web și utilizate pentru a fura informații confidențiale.

Cum să preveniți scripturile între site-uri?

Există mai multe metode pentru a preveni atacurile XSS:

  1. Nu permiteți accesul datelor nesigure la documentele dvs. HTML.
  2. Utilizați API-ul Sanitization WordPress și API-ul Escapeing WordPress (funcții de curățare a codului pentru a proteja informațiile confidențiale și nu pentru a le afișa public - de exemplu, într-o linie de adresă a linkului de browser).
  3. Înainte de a introduce date nesigure în șirul de solicitare URL, asigurați-vă că acestea sunt codificate în adresa URL.
  4. Înainte de a plasa date nesigure în pagini HTML, asigurați-vă că acestea sunt codificate în HTML, înlocuind sintaxa codului.

Atacuri pe serverul web și sistemul de operare

Există, de asemenea, anumite vulnerabilități de securitate pe serverele web și sistemele de operare. Astfel de amenințări de securitate sunt create atunci când se înregistrează o eroare în OpenSSL, ceea ce pune la dispoziția hackerilor accesul la bazele de date și la informații confidențiale. Această vulnerabilitate gravă afectează aproape două treimi din toate site-urile web.

Cum să preveniți atacurile pe un server web?

  1. Efectuați verificări regulate de securitate pe software-ul OpenSSL.
  2. Efectuați validarea pe server.
  3. Nu aveți încredere în intrările din exterior.
  4. Actualizați semnăturile IPS și firewall și activați semnăturile Heartbleed.
  5. Anulați certificatele SSL existente și creați altele noi.
  6. Nu creați certificate noi cu cheia veche.

Programele rău intenționate sunt concepute pentru a distruge și deteriora un sistem sau pentru a obține acces la o bază de date. Un astfel de software este o formă de coduri și scripturi executabile care pătrund în sistem fără acordul utilizatorului.

Ori de câte ori site-ul dvs. WordPress este spart, aruncați o privire la fișierele modificate recent. Cele mai frecvente infecții cu malware includ backdoors, discuri descărcabile și redirecționări rău intenționate.

Cum să faci față atacurilor rău intenționate?

  1. Eliminați manual fișierele rău intenționate.
  2. Restaurați site-ul WordPress dintr-o copie de rezervă.
  3. Actualizați întotdeauna WordPress și pluginurile.
  4. Ștergeți contul „admin” și utilizați un alt nume de utilizator unic.

Detectarea hacking-urilor

Există un procent mic de încercări de hacking care sunt extrem de greu de detectat, dar, în general, puteți identifica orice încercări, indiferent dacă sunt reușite sau nu.

Indicatori pentru detectarea vulnerabilităților:

  • Creșteri bruște, neprevăzute de trafic, în special din străinătate (de multe ori nu din regiunea dvs., unde probabilitatea de a vă găsi publicul țintă este extrem de scăzută);
  • Domeniul dvs. este redirecționat automat către un site terță parte (deseori spam);
  • Pagina de pornire și paginile interne se schimbă brusc sau conținutul dispare;
  • Exploziile de lățime de bandă de ieșire pot indica faptul că serverul dvs. este capturat și utilizat pentru atacuri DDoS;
  • Traficul direct și organic scade deoarece motoarele de căutare precum Google, Yandex, Bing și browserele (Firefox și Chrome) avertizează despre pericolele vizitării site-ului dvs. de către utilizatori.

Dacă observați una dintre activitățile enumerate pe site-ul dvs. web, efectuați rapid diagnosticarea de securitate a site-ului dvs. WordPress aici . Doar înlocuiți www.example.com cu domeniul site-ului dvs. în bara de adrese. O alternativă la serviciu este verificarea reputației site-ului cu ajutorul instrumentului gratuit URLVoid .

Eliminați breșele de securitate

Monitorizați-vă cu atenție și obiectiv resursa pentru tentativele de hack-uri. În cazul în care există probleme de securitate, ar trebui să începeți să eliminați încălcările.

Dacă sunteți sigur că site-ul dvs. a devenit o țintă a infractorilor cibernetici, va fi corect să vă informați vizitatorii despre asta. Organizați distribuirea automată de e-mail către utilizatorii dvs., deoarece aceștia pot fi vulnerabili la hackeri. Anunțați-i că site-ul dvs. poate fi victima unei breșe de securitate și că este mai bine să suspendați vizitarea site-ului dvs. pentru o perioadă. Specificați data la care va fi remediată problema.

Dacă atacul s-a răspândit, este logic să închideți site-ul și să lucrați în modul offline până când găsiți și rezolvați problema. Pentru perioada de lucru, se recomandă să puneți pagina „Site în Reconstrucție”. Va clarifica utilizatorilor că problema este temporară și nu îi va speria pentru totdeauna.

Contactați-vă găzduirea web

Companiile de găzduire web lucrează zilnic cu mii de site-uri web și se confruntă cu tot felul de probleme de securitate pe Internet. Odată ce aflați că securitatea site-ului dvs. este în pericol, contactați compania de găzduire și explicați-vă problema.

Majoritatea companiilor de gazduire web au specialisti IT, securitate. Acestea pot ajuta la identificarea și corectarea atacurilor rău intenționate. Chiar dacă compania dvs. de găzduire nu vă oferă ajutorul, experții săi pot contacta alți proprietari de site-uri web care s-au confruntat cu o problemă similară. Vă va ajuta să înțelegeți ce ar trebui să faceți pentru a rezolva problema.

Furnizorii de găzduire buni iau măsuri suplimentare pentru a-și proteja serverele de amenințările comune. Dar pe găzduirea partajată, partajați resurse cu alți proprietari de site-uri web. Mărește riscul atacurilor cu scripturi între site-uri atunci când un hacker poate folosi un site web vecin pentru a-l ataca pe al tău.

Utilizarea găzduirii gestionate WordPress oferă o funcționare mai sigură a site-ului dvs., datorită funcționalității sale suplimentare, cum ar fi backup automat, actualizări și configurații de securitate mai complexe pentru a vă proteja resursa.

Obțineți ajutor de la experți în securitate web

De obicei, cele mai vulnerabile fișiere ale site-ului web sunt fișierele media, fișierele .php și cele care sunt stocate în locuri nesigure. Hackerii injectează cod rău intenționat în aceste fișiere și vă deteriorează site-ul web folosind atacuri backdoor. Deoarece acestea sunt zone de risc tipice, trebuie mai întâi să le inspectați și, după aceea, să mergeți în alte zone ale șantierului pentru a începe procesul de curățare.

Ștergerea codului rău intenționat din fișierele infectate necesită să le descărcați de pe server, să eliminați codul afectat și să reîncărcați fișierele curate pe server.

Uneori nu este suficient doar să curățați fișierele infectate. Poate că hackerii au acces la fișierele dvs. și vor continua să le modifice și să șteargă fragmente de cod. Practica corectă este să comparați versiunea curățată a fișierelor dvs. infectate cu fișierele sursă ale dezvoltatorilor dvs. web pentru a vedea dacă ați pierdut bucăți critice de cod.

Amintiți-vă că, de obicei, hackerii instalează shell-uri backend care le permit să vă pirateze site-ul chiar și după ce elimină toate fișierele infectate. Aceste cochilii sunt adesea deghizate în fișiere obișnuite. Dacă site-ul dvs. a fost compromis, când reveniți la backup, externalizați munca către serviciile de securitate pentru a vă asigura că site-ul dvs. este complet sigur și poate funcționa în continuare.

Schimbați parolele

Curățarea fișierelor infectate este doar o parte a sarcinii de eliminare a vulnerabilităților. Trebuie să vă asigurați că hackerii nu mai au acces la datele dvs. Cel mai simplu, dar eficient mod de a face acest lucru este schimbarea parolelor. TOATE parolele dvs. de la:

  • E-mail;
  • cont FTP;
  • Cont de gazduire;
  • Panoul de administrare WordPress.

Trebuie să vă asigurați că noile voastre parole sunt de încredere și nu pot fi sparte folosind metode de forță brută. Amintiți-vă, furtul parolelor este cel mai comun tip de piratare a site-urilor WordPress. Prin urmare, vă recomandăm să creați parole mai complexe care nu au mai fost folosite până acum.

Motivul principal pentru care începătorii nu preferă să folosească parole puternice este că sunt greu de reținut. Acum există o soluție la această problemă - trebuie doar să utilizați managerul de parole.

O modalitate eficientă de a reduce riscurile este să aveți mai multe roluri pentru a vă accesa contul WordPress. Dacă aveți autori invitați, asigurați-vă că înțelegeți rolurile și capacitățile tuturor înainte de a adăuga noi utilizatori pe site-ul dvs.

Cum să vă securizați site-ul WordPress

De obicei, menținerea securității site-ului web este văzută ca o muncă complicată și necesită un personal de profesioniști bine plătiți. În cazul WordPress, lucrurile nu sunt chiar atât de înfricoșătoare. Vă vom arăta cum să vă protejați site-ul WordPress fără cunoștințe tehnice aprofundate. Nu trebuie să știți să codificați, să efectuați acțiuni complexe, să stați pe cap sau să efectuați ritualuri secrete voodoo.

Să ne apucăm!

Pasul 1. Setați opțiunile de rezervă

Backup-urile sunt scutul tău împotriva oricărui atac WordPress. Amintiți-vă, niciun site web nu poate fi 100% sigur. Chiar și site-urile guvernamentale sunt sparte din când în când. Deci resursa dvs. poate deveni și o țintă.

Backup-urile sunt concepute pentru a restaura rapid un site web vulnerabil. Prin urmare, vă recomandăm să utilizați pluginuri WordPress gata făcute în acest scop. Există o mulțime de ele: există opțiuni plătite și gratuite.

Cel mai important lucru aici este că backup-urile trebuie făcute în mod regulat. Există o regulă importantă – acestea trebuie să fie create pe un serviciu de stocare terță parte (de exemplu, în cloudul Dropbox, Amazon) și nu în contul dvs. de găzduire.

Cu cât actualizați mai des site-ul web, cu atât mai des trebuie să faceți copii de rezervă ale acestuia. Dacă actualizați blogul zilnic, vă recomandăm să faceți o copie de rezervă cel puțin o dată pe zi.

Cum să o facă?

Descărcați pluginuri precum VaultPress sau BackupBuddy . Sunt fiabile și, cel mai important, ușor de utilizat, ușor de configurat și fac față perfect funcției lor principale de rezervă.

Utilizați pluginuri și servicii de securitate WordPress

A avea o infrastructură de securitate de bază este o necesitate pentru orice site web, indiferent de amploarea acestuia. De exemplu, un instrument simplu, Login Lockdown , pentru utilizatorii WordPress este util pentru prevenirea atacurilor primitive de încercări de conectare folosind forța brută.

Prin urmare, dacă nu aveți deja un firewall sau un sistem de securitate care să vă protejeze site-ul, activați-le fără întârziere. Deoarece scopul nostru este de a preveni atacul și nu de a restabili după ce daunele s-au produs, vă sugerăm să folosiți un firewall pentru aplicații web (WAF) ca soluție.

Un firewall este o soluție software gata creată care adaugă un nivel suplimentar de protecție și controlează întregul trafic care intră pe site-ul dvs. web, blocând o gamă largă de amenințări rău intenționate.

Combate cele mai comune și agresive amenințări, inclusiv Open Web Application Security Project, SQL Injections, Cross-Site Scripting și Invalidated Redirects. Un firewall sau un firewall este adesea integrat în sistemele de operare moderne sau inclus în sistemele antivirus plătite.

Un firewall pentru aplicații web (WAF) este cel mai simplu mod de a proteja un site și de a fi sigur de securitatea acestuia. Acesta blochează tot traficul rău intenționat înainte de a vă depăși resursa.

Furnizorii de găzduire buni oferă protecție WAF încorporată folosind modulul server mod_security Apache cu sursă deschisă, dar înțelegem că nu este suficient să blocăm cele mai recente amenințări detectate. Modulul este rar actualizat de găzduirea web, care nu are suficiente resurse pentru a urmări peisajul amenințărilor care evoluează rapid.

Prin urmare, utilizatorii ar trebui să ia sarcina în propriile mâini, folosind firewall-ul oferit de furnizorii de securitate cloud. Astfel de WAF-uri bazate pe cloud sunt soluții plug-and-play care controlează tot traficul de intrare și procesează în mod autonom întregul proces de detectare și eliminare a amenințărilor pentru a răspunde rapid amenințărilor noi și existente.

În plus, astfel de servicii cloud vin de obicei cu rețele de livrare de conținut CDN, servicii de failover DDoS și chiar soluții de echilibrare a încărcăturii pentru a îmbunătăți performanța, securitatea și disponibilitatea.

Ca cel mai bun firewall pentru aplicații web pentru WordPress, vă recomandăm Sucuri . Avantajul firewall-ului Sucuri este că vine cu garanția eliminării malware-ului. Dezvoltatorii garantează că vă vor repara site-ul web (indiferent de câte pagini aveți). Specialiștii în securitate, de obicei, își estimează munca la 250 USD pe oră, în timp ce puteți obține întreaga gamă de securitate cu Sucuri pentru 199 USD pe an.

Sucuri nu este singurul furnizor de firewall. Celebrul său concurent care îi calcă deja pe călcâie este Cloudflare .

Care sunt diferențele dintre Sucuri și Cloudflare?

Ambele servicii oferă planuri diferite, care vin cu un set diferit de caracteristici.

Caracteristici Cloudflare

Cloudflare a câștigat faimă pentru serviciul CDN gratuit. Este specializat în prevenirea atacurilor DDoS. Cloudflare vă menține site-ul accesibil utilizatorilor în timpul unui atac sau cu trafic intens atunci când serverul nu mai răspunde.

Firewall-ul acoperă, de asemenea, formulare și vă protejează site-ul web de comentariile spam și înregistrările de spam. Cloudflare oferă, de asemenea, certificate SSL gratuite în toate planurile sale plătite. Planurile gratuite vă permit să utilizați numai certificatele Cloudflare. Pentru a obține un certificat personalizat, trebuie să treceți la un plan de afaceri sau corporativ.

Deși Cloudflare are o versiune gratuită care oferă CDN gratuit, majoritatea celorlalte funcționalități, inclusiv firewall-ul aplicației web necesită o tranziție la un plan plătit.

Cloudflare nu oferă un serviciu de scanare a serverelor pentru a detecta malware. De asemenea, nu oferă o garanție pentru eliminarea programelor malware.

Caracteristici Sucuri

Sucuri este unul dintre cele mai de încredere servicii de securitate pentru monitorizarea site-urilor web. Oferă monitorizare și scanare cuprinzătoare pentru malware, protecție împotriva DDoS și eliminarea software-ului rău intenționat.

Sucuri oferă CloudProxy, un firewall pentru site-uri web și servicii de echilibrare a încărcăturii. Blochează traficul suspect, codul infectat, roboții și alte amenințări. Sucuri vă scanează în mod regulat site-ul web.

Ce sa aleg?

Sucuri are evident mai multe avantaje pentru că oferă cea mai bună combinație de instrumente și servicii (site firewall + load balancing + curățare malware/hack restoration).

Prețuri

Cloudflare oferă un serviciu CDN gratuit pentru toată lumea. Ei nu taxează pentru lățimea de bandă, adică puteți folosi CDN-ul lor gratuit, indiferent de volumul de trafic.

Cu toate acestea, planul gratuit nu vine cu un firewall pentru aplicații web. Site-ul dvs. poate folosi CDN-ul, dar nu va fi protejat corespunzător de atacuri DDoS, spam etc.

Pentru a utiliza un firewall, aveți nevoie de un plan Pro care costă 20 USD pe lună, dar acest plan nu include reducerea avansată a atacurilor DDoS și SSL personalizat. Pentru a obține aceste funcții, va trebui să achiziționați un plan de afaceri care costă 200 USD pe lună.

Sucuri nu oferă un plan gratuit. Planul lor de securitate începe de la 199 USD pe an, ceea ce se dovedește a fi mai accesibil decât planul CloudFlare Pro. Acest plan de bază include monitorizarea completă a site-ului, firewall pentru aplicații web, protecție DDoS, eliminarea programelor malware și un certificat SSL gratuit.

În loc să excludă caracteristici semnificative din planurile de nivel inferior, Sucuri folosește prioritatea timpului ca un stimulent pentru planurile sale mai scumpe. De exemplu, timpul necesar pentru a elimina programele malware într-un plan de preț de bază este de 12 ore, 6 ore pentru un plan profesional și 4 ore pentru un plan de afaceri. În același timp, timpul efectiv de curățare este mai rapid decât cel indicat în planuri.

Sucuri oferă suport non-stop pentru toate planurile. Abonații planului lor de afaceri pot folosi și suportul prin chat.

Ce sa aleg?

Sucuri este o alegere evidentă pentru întreprinderile mici când vine vorba de prețuri. Cloudflare Pro costă 240 USD pe an în timp ce Sucuri percepe 199 USD pe an cu o gamă largă de funcții. Pentru a obține aceeași funcționalitate, va trebui să accesați planul Cloudflare la 2.400 USD pe an. Cel mai scump plan Sucuri este de 499 USD pe an.

Eliminarea programelor malware

Programele malware și codurile infectate sunt cele mai frecvente amenințări cu care se confruntă proprietarii de site-uri web.

Cum protejează Sucuri și Cloudflare site-urile de aceste amenințări comune?

O versiune gratuită de Cloudflare este de obicei bună ca o rețea de livrare a conținutului, care va face site-ul dvs. mai rapid de descărcat.

Securitatea firewall pentru site-uri web (disponibilă în versiunea plătită) include protecția site-ului împotriva codurilor rău intenționate, a exploatărilor în JavaScript XSS și a formularelor. Nu oferă detectarea modificărilor fișierelor, scanarea programelor malware, monitorizarea listei negre și alte caracteristici de securitate. Puteți adăuga aplicații terță parte pentru a scana programe malware, dar aceste servicii vă vor costa bani în plus.

Sucuri este specializată în monitorizarea site-urilor și protejarea acestora de software rău intenționat și alte atacuri. Firewall-ul Sucuri vă protejează de DDoS, injecție SQL, injecții JavaScript XSS, comentarii și formulare de contact spam.

Cu toate acestea, dacă și un atacator încalcă aceste bariere, Sucuri se va oferi să vă curețe site-ul (gratuit). Dacă acum aveți un site web afectat de software rău intenționat, Sucuri îl poate curăța și el.

Ce sa aleg?

Pentru a utiliza un firewall de aplicație web cu servicii de monitorizare, protecție anti-malware și curățare, Sucuri este cel mai potrivit. Cu toate acestea, în domeniul livrării de conținut, este mai bine să utilizați Cloudflare.

Pasul 2. Transferați la HTTPS dacă nu ați făcut-o deja

Unul dintre cei mai noi factori de clasare pe care Google i-a anunțat oficial este cerința de a trece la HTTPS. Acest accent pus pe securitatea site-urilor web arată că Google este serios în privința faptului că site-urile web nesigure sau piratate sunt declasate în clasamentul motoarelor de căutare. Potrivit Google însuși, aceasta este o încercare de a face internetul mai sigur.

HTTPS este un protocol pentru securizarea confidențialității schimbului de date între un utilizator și un site web. Acesta asigură securitatea transferului de informații importante între site-uri și servere, spre deosebire de vechiul protocol HTTP.

HTTPS a fost folosit anterior pe scară largă pentru tranzacții financiare pe site-urile de comerț electronic, pentru a proteja cutiile poștale. Cu alte cuvinte, a fost aplicat oricăror tranzacții care necesită securitate și fiabilitate.

Prin transferarea site-ului dvs. la un protocol HTTPS, nu îl veți face doar mai sigur; de asemenea, vă veți crește șansele de a obține poziții înalte în rezultatele căutării pe interogările tematice Google și Bing.

Pasul 3: Instalați pluginuri de securitate WordPress

Este important să configurați un sistem de audit și monitorizare care urmărește fiecare activitate care are loc pe site-ul dvs.

Aveți nevoie de un plugin de securitate pentru a:

  • monitorizează integritatea fișierelor;
  • urmăriți încercările de conectare nereușite;
  • scanează site-ul pentru malware;
  • eliminarea oricăror amenințări;
  • protejați-vă site-ul de amenințări;
  • să aibă un asistent universal în lupta împotriva tuturor tipurilor de vulnerabilități;

Pluginul gratuit, Sucuri Scanner, se poate ocupa de aceste sarcini.

Cum se configurează Sucuri Scanner?

  1. Creați o cheie API gratuită. Va ajuta la păstrarea înregistrărilor de urmărire, la verificarea integrității site-ului web, la notificarea prin e-mail când apar amenințări.
  2. Accesați fila Hardening din meniul Sucuri din tabloul de bord WordPress. Marcați fiecare opțiune și faceți clic pe butonul „Consolidați”.

Aceste setări ajută la blocarea zonelor de risc pe care hackerii le folosesc adesea pentru atacurile lor.

  1. Configurați alertele de amenințare prin e-mail. Pentru a vă asigura că e-mailul dvs. nu vă aglomera e-mailul, vă recomandăm să configurați primirea de e-mailuri numai despre acțiuni critice, cum ar fi înregistrarea de noi utilizatori, modificări ale pluginurilor.

Wordfence Security este unul dintre cele mai faimoase pluginuri de securitate cu peste 2 milioane de instalări active și un firewall încorporat. Oferă protecție completă a unui site web pe toate fronturile:

  • Protecția universală a șantierului;
  • Protecție împotriva noilor amenințări;
  • Protecție împotriva atacurilor de forță brută;
  • Detectarea traficului rău intenționat;
  • Blocarea intrușilor înainte ca aceștia să ajungă la fața locului;
  • Protecție împotriva roboților;
  • Blocarea rețelelor rău intenționate;
  • Protecția intrării împotriva parolelor de forță brută, atacurilor DDoS;
  • Scanarea site-ului pentru detectarea amenințărilor;
  • Scanarea ușilor din spate;
  • Scanare pentru troieni, cod suspect;
  • Scanarea mesajelor și comentariilor.

Pentru a obține un firewall mai fiabil, va trebui să achiziționați o versiune Premium (de la 99 USD pe an). Funcțiile de bază ale pluginului sunt disponibile în versiunea gratuită.

Trimiteți o solicitare către Google, Bing etc.

Rezultatul negativ al piratarii este că multe motoare de căutare, browsere și software de securitate identifică resursa dvs. ca fiind problematică și emit alerte pentru utilizatorii care doresc să viziteze site-ul. Astfel, ei încearcă să asigure siguranța utilizatorilor lor, să îi prevină de pericol.

Pentru ca site-ul dvs. să ajungă la picioare cât mai repede posibil, contactați Google, Bing, Yahoo, Mozilla și alte servicii pentru a vă elimina site-ul din lista neagră.

A concluziona

Ca și în cazul majorității celorlalte lucruri care au mers prost brusc, trebuie doar să fiți atenți și să vă asigurați că ați luat toate măsurile de precauție posibile pentru a vă proteja site-ul WordPress de orice atac. Dacă a fost inevitabil și ați fost deja piratat, nu vă descurajați.

Folosiți doar experiența negativă (care de obicei poate fi evitată) ca sonerie de alarmă, urmați pașii descriși mai sus și folosiți orice măsuri de securitate pentru a evita un astfel de eveniment în viitor.