Întărirea WordPress: Cum să vă păstrați site-ul WordPress în siguranță
Publicat: 2022-06-30Dacă ai fost vreodată piratat, știi ce coșmar poate fi. Poate fi dificil să înțelegeți ce pași de securitate WordPress vă vor ajuta să vă păstrați site-ul WordPress în siguranță.
Continuați să citiți pentru a afla cum să vă păstrați site-ul WordPress în siguranță. Aflați pașii corespunzători pentru consolidarea WordPress și obțineți o listă de verificare a securității site-ului WordPress.
Ce este WordPress Hardening?
WordPress reprezintă aproximativ 40% din toate site-urile web. Din această cauză, oamenii care știu să exploateze WordPress pot găsi cu ușurință o mulțime de ținte. Din fericire, există multe lucruri pe care le puteți face pentru a le îngreuna munca. Acest lucru este cunoscut sub numele de întărire WordPress.
De ce este importantă securitatea WordPress
Nu numai că piratarea este jenantă, dar poate duce la timpi de nefuncționare, pierderi de date și scurgeri de informații. Acest lucru se poate traduce prin vânzări pierdute și reputație slabă a mărcii. În plus, poate fi nevoie de multă muncă pentru a relua totul din nou.
Întărirea WordPress: 10 pași de securitate WordPress de urmat
Există patru moduri principale prin care hackerii pot obține acces pentru a vă sparge site-ul Wordpress:
- Obținerea parolei sau sesiunea și autentificare.
- Prin acces indirect, cum ar fi FTP, SSH sau baza de date.
- Prin descoperirea de informații în rădăcina dvs. web.
- Prin vulnerabilități în codul WordPress sau pluginuri.
Cel mai simplu mod de a obține acces la site-ul dvs. este pur și simplu să vă conectați. Iată câteva modalități de a întări WordPress împotriva hoților de parole.
1. Securizați aparatul de la care vă conectați
Un lucru important care este ușor de trecut cu vederea este computerul de la care vă conectați. Dacă nu este sigur, atunci acest lucru poate face și serverul dvs. vulnerabil. Acesta este motivul pentru care este foarte important să aveți un scanner de viruși și un firewall, să vă mențineți computerul la zi și să practicați obiceiuri de navigare în siguranță.
2. Securizați conexiunea la server
Chiar dacă computerul tău este securizat, parola sau sesiunile tale pot fi totuși furate în drum spre server. Pentru a preveni acest lucru, este important să vă asigurați că utilizați HTTPS atunci când vă conectați la backend-ul WordPress.
Lectură similară: Ghid pentru începători pentru optimizarea performanței WordPress >>
Este de preferat să vă conectați întotdeauna la server folosind conexiunea prin cablu de acasă sau de afaceri sau o conexiune Wi-Fi care utilizează o parolă Wi-Fi lungă, aleatorie. Dacă trebuie să vă conectați folosind un hotspot public, atunci veți dori absolut să investiți într-un VPN.
3. Împiedicați oamenii să vă ghicească parola
Când un atacator folosește un script pentru a încerca rapid diferite combinații de nume de utilizator și parolă până când o ghicește pe cea potrivită, acest lucru se numește atac cu forță brută. Pentru a preveni atacurile cu forță brută, utilizați o parolă lungă care conține numere cu litere mari și mici și caractere speciale.
Pentru a face această tehnică și mai dificilă, puteți obține pluginuri care vă vor ajuta. Căutați pluginuri de autentificare cu doi factori, pluginuri care adaugă un captcha la formularul de conectare și pluginuri care limitează numărul de încercări incorecte pe care le puteți face.
4. Nu utilizați Admin
O altă modalitate de a preveni atacurile cu forță brută și alte metode de furt de parole este să numiți altfel contul de administrator. Dacă nu vă pot ghici numele de utilizator, atunci nu vă pot ghici parola. Orice conturi suplimentare de administrator trebuie șterse atunci când nu mai sunt necesare. Orice conturi noi pe care le creați ar trebui să aibă doar accesul necesar.
Dacă hackerii nu vă pot accesa contul de administrator în mod direct, ei ar putea să vă acceseze site-ul indirect prin SSH, FTP sau baza de date. Tot ce s-a menționat despre menținerea în siguranță a computerului local, alegerea parolelor sigure și utilizarea unui VPN în timp ce sunteți pe internetul public se aplică și pentru SSH, FTP și conexiunile la baza de date, dar iată câteva considerații suplimentare.
5. Folosiți SFTP sau FTPS
FTP vă transmite datele și parolele prin internet în text simplu, ceea ce înseamnă că oricine vă poate intercepta datele vă poate vedea parolele și datele. SFTP și FTPS vă criptează datele.
6. Închideți sau limitați accesul la porturi
În general, dacă baza de date și site-ul dvs. sunt pe același server, nu este necesar să aveți portul bazei de date deschis publicului. Dacă vă puteți gestiona baza de date prin portal sau din interiorul serverului, aceasta este, în general, o opțiune mai bună, deoarece oferă atacatorilor o modalitate mai mică de a vă exploata site-ul.
Lectură similară: Când WordPress are nevoie de un impuls: sfaturi, instrumente și strategie de reglare >>
La fel și cu FTP, dacă puteți utiliza SFTP pentru a vă conecta la server, nu este nevoie să aveți portul FTP deschis. Dacă trebuie să utilizați unul dintre aceste porturi pentru a vă conecta la serverul dvs., poate fi o idee bună să selectați porturile doar la adresa dvs. IP.
Dacă adresa dvs. IP se schimbă mult, poate fi incomod să trebuiască să sunați pentru a obține acces la serverul dvs. de fiecare dată când adresa dvs. IP se schimbă. O modalitate de a evita acest lucru este utilizarea unui VPN. Nu numai că un VPN criptează conexiunile dintre dvs. și server, dar o face astfel încât să puteți utiliza o adresă IP statică pe care o puteți adăuga la firewall pentru a împiedica pe oricine altcineva să acceseze porturile.
O greșeală pe care o fac mulți oameni este să stocheze fișiere și depozite de baze de date în rădăcina web. Amintiți-vă că orice din rădăcina dvs. web este accesibilă oricui pe internet și nu ar trebui să aibă nimic pe care nu ați dori ca cineva să aibă.
7. Eliminați orice nu este necesar din rădăcina dvs. web
Merită să vă uitați peste rădăcina dvs. web și să vă asigurați că nu există nimic care nu este necesar pentru ca site-ul dvs. să funcționeze stocat în el.
De exemplu, poate fi convenabil să aruncați baza de date în webroot, astfel încât să o puteți descărca mai târziu. Dar amintiți-vă că baza dvs. de date conține hash-uri pentru parole și ar putea conține alte informații pe care nu doriți să fie publice.
O idee mai bună ar fi să aruncați baza de date în altă parte și să folosiți SFTP pentru a o descărca. Dacă doriți să-l păstrați pe server ca rezervă, îl puteți muta pur și simplu la un nivel în sus sau îl puteți pune oriunde, cu excepția webroot-ului.
De asemenea, copii arhivate ale codului site-ului web pot fi folosite pentru a afla despre codul dvs. și pot fi descărcate de oricine de pe internet. O altă practică obișnuită este să faci o copie de rezervă a unui fișier precum .htaccess sau a unui fișier de cod înainte de a-l modifica.
Este cu siguranță o idee bună să faceți backup fișierelor înainte de a le modifica, dar dacă intenționați să le păstrați în rădăcina web, ar trebui să schimbați permisiunile, astfel încât să nu poată fi accesate.
Lectură similară: Dezmințirea miturilor de securitate a găzduirii WordPress >>
De exemplu, puteți tasta chmod 000 .htaccess. În cele din urmă, chiar și fișierele README sau orice altceva care ar putea expune numerele de versiune ar trebui să fie sigur de eliminat - iar eliminarea acestora poate îmbunătăți securitatea.
Ultimul lucru de luat în considerare este codul în sine. Securitatea codului aplicației web este un subiect foarte complex, cu cărți întregi scrise pe această temă. Deoarece utilizați WordPress, sarcina imensă de a păstra codul în siguranță este făcută pentru dvs., tot ce trebuie să faceți este să instalați patch-urile.
Dacă găzduiești cu Nexcess, ne ocupăm de actualizarea de bază a WordPress pentru tine, dar temele și pluginurile pot conține și vulnerabilități.
8. Eliminați orice cod neutilizat
O modalitate ușoară de a vă păstra site-ul WordPress în siguranță este să eliminați pur și simplu tot ceea ce nu utilizați. Uitați-vă la toate pluginurile dvs. și eliminați-le dacă nu adaugă nicio valoare site-ului dvs.
Lectură similară: Ghidul esențial al pluginurilor WordPress >>
Acest lucru nu numai că îmbunătățește securitatea, dar poate și accelera WordPress și îmbunătăți stabilitatea site-ului dvs. Rețineți că, în unele cazuri, chiar și pluginurile care sunt dezactivate pot introduce erori sau pot oferi o suprafață de atac hackerilor.
Dacă aveți teme WordPress care nu sunt folosite, ar trebui să le dezinstalați, deși poate doriți să luați în considerare să lăsați cea mai actualizată temă implicită WordPress în loc pentru depanare mai târziu.
În cele din urmă, cel mai important este să eliminați instalațiile vechi pe care nu le utilizați. Dacă aveți un întreg subdirector cu un blog vechi sau o versiune veche a site-ului web pe care nu o mai utilizați, este foarte important să îl eliminați din rădăcina web. Dacă doriți să-l salvați ca backup, poate fi stocat în siguranță deasupra rădăcinii web.
9. Asigurați-vă că toate pluginurile și temele dvs. sunt întreținute în mod activ
Noi vulnerabilități sunt descoperite în fiecare zi și, odată ce sunt cunoscute, pot fi exploatate rapid prin scripturi în masă pe tot internetul. De aceea, este important să vă asigurați că aveți programatori experimentați care răspund activ la orice defecte găsite în codul lor și care lansează în mod regulat patch-uri pentru a închide vulnerabilitățile.
10. Aplicați plasturi
Deoarece vulnerabilitățile se găsesc în WordPress tot timpul și deoarece vulnerabilitățile WordPress sunt exploatate atât de rapid și complet, este foarte important să aplicați patch-uri de îndată ce acestea sunt disponibile. Este foarte important să faceți acest lucru pentru a evita timpul de nefuncționare.
Cu toate acestea, există un anumit risc ca unul dintre patch-uri să nu fie compatibil cu restul codului dvs., așa că cel mai bun mod de a face acest lucru este să faceți în mod regulat o copie de rezervă, apoi să aplicați manual patch-urile și apoi să testați site-ul.
Dacă găsiți ceva care nu funcționează, puteți recupera copia de rezervă și puteți recupera rapid site-ul. Dacă aveți resurse, o metodă și mai bună este să păstrați o copie a site-ului dvs. și să aplicați mai întâi toate patch-urile pe copie. Acest lucru previne orice timp nefuncțional și vă permite să depanați orice problemă înainte ca corecțiile să fie aplicate pe site-ul live.
Lista de verificare a securității site-ului WordPress
- Păstrați-vă computerul în siguranță
- Utilizați protocoale securizate
- Utilizați o parolă puternică
- Folosiți pluginuri pentru a vă îngreuna ghicirea parolei
- Redenumiți contul de administrator
- Închideți sau limitați accesul la porturile din firewall
- Curățați depozitele bazei de date, copiile de siguranță și în special codul vechi de la rădăcina dvs. web
- Alegeți cu atenție pluginurile și temele și eliminați pe cele pe care nu le utilizați
- Cel mai important, ține-le la curent
Nexcess vă păstrează site-ul WordPress în siguranță
Să vă piratați site-ul poate fi un dezastru. Nu numai că te face să arăți rău, dar poate duce la perioade de nefuncționare extinse sau chiar la pierderea comenzilor.
Găzduirea WordPress cu Nexcess este un prim pas grozav pentru a vă menține site-ul WordPress în siguranță.
Nexcess oferă o platformă sigură de pe care să găzduiți site-ul dvs. WordPress. Cu Nexcess, beneficiați de monitorizare permanentă a securității, backup zilnic gratuit, certificate SSL și IThemes Security Pro.
Și cu o echipă de experți WordPress și profesioniști de asistență disponibil nonstop pentru a vă ajuta cu orice întrebări pe care le aveți, veți avea întotdeauna resursele de care aveți nevoie 24/7.
Explorați planurile noastre de găzduire WordPress complet gestionate pentru a începe astăzi.