Cum să vă securizați site-ul WordPress

Publicat: 2020-09-25

Serviciile de găzduire WordPress gestionate (cum ar fi Pressidium) pun în mod normal un accent semnificativ pe securitatea platformei lor de găzduire. O serie de funcții sunt implementate pentru a ajuta la păstrarea în siguranță a site-urilor web WordPress găzduite pe aceste sisteme.

Există totuși doar atâtea lucruri pe care o gazdă WordPress poate face pentru a asigura securitatea unui site web WordPress. Proprietarii de site-uri web au propriul rol de jucat pentru a se asigura că site-urile lor rămân securizate. În acest articol vom arunca o privire asupra pașilor pe care îi puteți urma pentru a vă securiza site-ul WordPress.

Menținerea site-ului dvs. în siguranță – O prezentare generală

Multe hack-uri de site-uri web au loc ca rezultat direct al acțiunilor (sau inacțiunilor) întreprinse de proprietarii de site-uri web. Lucruri precum eșecul actualizării pluginurilor la cea mai recentă versiune sau folosirea unei parole slabe duc la slăbiciuni exploatabile care rulează pe site-ul dvs. pe care hackerii le vor viza. Vestea bună este că există o serie de pași simpli pe care îi puteți lua pentru a vă menține site-ul WordPress în siguranță. Acestea includ:

  • Asigurați-vă că dvs. și orice alt utilizator al site-ului web utilizați parole puternice
  • Utilizați un mecanism Captcha
  • Utilizați autentificarea cu doi factori (2FA)
  • Ștergeți utilizatorii inactivi
  • Utilizați un sistem de „limitare a încercărilor de conectare”.
  • Păstrați întotdeauna fișierele de bază, pluginurile și temele actualizate la cea mai recentă versiune
  • Schimbați adresa URL implicită de conectare
  • Evitați utilizarea temelor și pluginurilor anulate

Să aruncăm o privire mai atentă la câțiva dintre acești pași și să aflăm cum îi puteți aplica pe site-ul dvs. web.

Asigurați-vă că utilizatorii dvs. folosesc parole puternice

Nu există un firewall pe server sau alt sistem de securitate de găzduire care să vă protejeze site-ul WordPress de o parolă slabă. În ciuda problemelor cunoscute legate de utilizarea unei parole slabe, statisticile sugerează că 35% dintre utilizatori încă folosesc parole slabe pentru a-și securiza site-ul WordPress, în ciuda faptului că WordPress i-a solicitat să aleagă o parolă mai puternică.

confirmați parola slabă

Poate că concluzia care se poate trage din aceasta este că unii utilizatori pur și simplu nu sunt conștienți de cât de vulnerabil devine site-ul lor atunci când este utilizată o parolă slabă. Din păcate, hackerii au descoperit cu mult timp în urmă cum să profite de utilizatorii care aleg parole previzibile care urmează anumite modele (cum ar fi data nașterii sau numele unui animal de companie).

Alții, deși sunt conștienți de vulnerabilitatea parolelor slabe, continuă totuși să le folosească, poate pentru că este lucrul ușor de făcut. La urma urmei, amintirea unei parole simple este mult mai ușor decât una mai complexă, care este construită din litere, numere și simboluri aleatorii.

Fără îndoială, parola dumneavoastră oferă o linie critică de apărare împotriva hackerilor. Cu cât este mai puternic, cu atât mai bine. În mod ideal, o parolă ar trebui să fie unică, generată aleatoriu și actualizată în mod regulat.

Utilizați un mecanism Captcha în formularul de conectare

Scopul unui captcha este de a distinge oamenii de „boți”, care sunt aplicații software care realizează sarcini automate. Hackerii le pot folosi pentru a încerca să obțină acces la site-uri web prin intermediul paginii de conectare, indicând bot-ului să facă încercări continue folosind date aleatorii pentru a accesa un site web. Un captcha este conceput pentru a ajuta la prevenirea acestor tipuri de atacuri asupra unui site, prin diferențierea între oameni și roboți. Captcha-urile au fost folosite timp de trei decenii și sunt încă implementate pe nenumărate site-uri web pentru a le proteja împotriva activității botului.

Un captcha poate fi adăugat pe site-ul dvs. WordPress cu scopul de a bloca încercările de conectare la bot. O modalitate ușoară de a face acest lucru este prin instalarea pluginului Login no Captcha reCaptcha, care profită de sistemul captcha al Google.

autentificare reCaptcha

Când este instalat, veți vedea căsuța de selectare familiară reCaptcha apare sub panoul de conectare. Bifați acest lucru și sunteți plecat (presupunând că știți oricum numele de utilizator și parola corecte!).

Pentru ca pluginul să funcționeze, va trebui să vă creați un cont Google reCaptcha gratuit, care vă va permite apoi să generați o cheie de site și o cheie secretă.

Cum se generează site-ul și cheia secretă:

  1. Conectați-vă la contul dvs. Google (va trebui să vă înregistrați pentru unul dacă nu aveți deja un cont). Mergeți la pagina Google reCaptcha și faceți clic pe „Consola de administrare”, care apare în dreapta sus.
  2. Faceți clic pe pictograma „Plus +” care se află din nou în dreapta sus pentru a înregistra un nou site web. Completați informațiile solicitate.
  3. Apăsați butonul de trimitere și veți vedea o pagină ca aceasta:
Cheile site-ului Google reCaptcha

Apoi, va trebui să lipiți aceste valori în casetele din setările pluginului așa cum sunt promovate.

Autentificare în doi factori (2FA)

Folosirea unui proces de autentificare cu doi factori va adăuga un nivel suplimentar de securitate paginilor dvs. de conectare site-urilor dvs. web, prevenind ceea ce este cunoscut sub numele de atac de „forță brută”. Aceste tipuri de atacuri sunt atunci când un bot încearcă să se conecteze continuu la site-ul dvs. folosind parole și nume de utilizator care au fost ghicit (în mod normal, urmând niște liste predefinite care profită de parolele „slabe” cunoscute, cum ar fi 123password și așa mai departe. Botul va continuați să încercați să accesați site-ul dvs. până când are succes, ceea ce este o veste proastă pe două fronturi. În primul rând, dacă parola este corectă, site-ul dvs. a fost acum piratat. În al doilea rând, aceste încercări continue de autentificare pot crește încărcarea serverului și, prin urmare, pot încetini site-ul dvs. pentru a fi legitim. utilizatorii.

Din fericire, există pluginuri terță parte disponibile care pot ajuta la oprirea acestui lucru.

Plugin cu doi factori

Pluginul Two-actor de Plugin Contributors este un plugin util, ușor de utilizat, care oferă site-urilor web protecție cu doi factori, forțând utilizatorii să furnizeze un cod de autentificare alături de acreditările lor normale de conectare. Acest cod poate fi trimis prin e-mail sau generat folosind un generator de parole unice, cum ar fi Google Authenticator.

Plugin cu doi factori

Pluginul Google Authenticator

Pluginul Google Authenticator este un alt plugin popular 2FA care poate fi implementat pentru a vă proteja site-ul WordPress. Acest plugin complet gratuit oferă o serie de opțiuni de autentificare 2FA, inclusiv SMS-uri și, desigur, prin utilizarea aplicației Google Authenticator. Configurarea acestui lucru este destul de rapidă și ușoară. Doar urmați instrucțiunile când activați pluginul.

Pluginul Google Authenticator

Ștergeți utilizatorii inactivi

O altă țintă ușoară pentru atacatori sunt conturile de utilizatori ai site-urilor web care nu au fost folosite de mult timp. Rezultatul este că parola este adesea mai slabă decât ar fi dacă utilizatorul ar fi creat recent contul sau s-ar fi conectat în mod regulat la site. Din acest motiv, merită să ștergeți periodic toate conturile care sunt inactive.

Puteți utiliza un plugin pentru a detecta cu ușurință acești utilizatori inactivi, cum ar fi pluginul Când ultima conectare.

Odată activat, pur și simplu adaugă o coloană personalizată la tabelul listei de utilizatori administratori care afișează marcajul de timp al ultimei date și ore de conectare a utilizatorului respectiv. Puteți sorta această coloană dintr-o privire, putând identifica utilizatorii inactivi, ceea ce înseamnă că apoi îi puteți șterge dacă este cazul.

Când ultima conectare

Apoi pe Utilizator -> Toți utilizatorii sortează după coloana „Ultima autentificare” adăugată:

Coloana Când ultima conectare

Limitați încercările de conectare

Un alt mod în care puteți adăuga un strat suplimentar de securitate site-ului dvs. WordPress este prin limitarea numărului de încercări de conectare permise într-un anumit interval de timp. Această tehnică împiedică roboții care fac ghiciri continue de conectare. În plus, unele plugin-uri care oferă această funcționalitate pot, de asemenea, bloca adresa IP de la care au provenit încercările de conectare și, prin aceasta, oprește acel bot anume care operează de la acea adresă IP să încerce atacuri repetate pe site-ul tău în viitor.

Un plugin bun care oferă această funcționalitate este pluginul gratuit Limit Login Attempts Reloaded.

Limitare încercări de conectare Plugin reîncărcat

Cu peste 1 milion de instalări la momentul scrierii, puteți fi sigur că pluginul funcționează bine.

După ce îl instalați și îl activați, mergeți la meniul Setări și apoi faceți clic pe „Limitați încercările de conectare”. Veți putea modifica o serie de parametri, inclusiv numărul de reîncercări permise înainte ca utilizatorul să fie blocat pe site.

Limitați setările încercărilor de conectare

Limitarea încercărilor de conectare este o modalitate extrem de eficientă de a vă proteja site-ul web, motiv pentru care activăm acest lucru implicit pe toate site-urile web găzduite de Pressidium.

Notă: Dacă utilizați Jetpack, o versiune recentă a funcției numită „Modul de protecție” include un sistem de limită de încercări de conectare ca implicit. Acest sistem oferă, de asemenea, informații despre încercările de conectare blocate și opțiunea de a include IP-uri pe lista albă. Dacă utilizați acest plugin, atunci nu este nevoie să instalați un plugin separat „limită de conectare”.

Păstrați fișierele de bază, pluginurile și temele actualizate la cea mai recentă versiune

Printre multe alte beneficii, actualizarea nucleului WordPress, a temei și a pluginurilor este esențială pentru securitatea site-ului dvs. web. Statisticile arată că versiunile, temele și pluginurile învechite sunt cel mai popular mod în care hackerii obțin acces la site-uri web, făcând menținerea acestora la zi o prioritate de vârf.

La Pressidium, actualizăm automat nucleul WordPress la cea mai recentă versiune după prima testare pentru a ne asigura că nu există probleme cheie care le-ar cauza clienților noștri probleme cu site-urile lor. Deoarece aceste actualizări sunt efectuate automat, puteți fi sigur că site-ul dvs. rulează întotdeauna cea mai recentă versiune de WordPress.

Găzduiește-ți site-ul web cu Pressidium

GARANTIE 60 DE ZILE BANI RAPIS

VEZI PLANUL NOSTRU

În plus, facem actualizarea pluginurilor pe site-urile web găzduite la noi cât mai ușoară posibil, oferind o facilitate de actualizare a pluginurilor care este accesibilă prin tabloul de bord Pressidium. Acest lucru le permite clienților noștri să vadă dintr-o privire dacă pluginurile lor pentru site-uri web au nevoie de actualizare. Dacă da, actualizarea poate fi efectuată cu câteva clicuri din tabloul de bord Pressidium. De asemenea, scanăm în mod regulat site-urile web găzduite la noi pentru a găsi pluginuri care au vulnerabilități cunoscute și vom informa proprietarul site-ului web despre această vulnerabilitate prin e-mail. În cazurile în care un plugin învechit prezintă un risc extrem pentru un site web, chiar îl vom actualiza în mod proactiv în numele proprietarului site-ului.

Schimbați adresa URL implicită de conectare

Acum că am parcurs modalități de securizare a paginii de conectare (de fapt, protejând „ușa din față”), să aruncăm o privire la opțiunile pentru a ascunde ușa din față, asigurându-ne că un hoț (sau hacker!) nu poate încerca nici măcar să intre. .

O modalitate excelentă de a face acest lucru este să schimbați locația adresei URL implicite de conectare WordPress prin schimbarea acesteia într-una personalizată. Procedând astfel, blocați instantaneu traficul de la wp-login, ceea ce înseamnă că, la rândul său, nu ar trebui să experimentați niciun atac de forță brută pe site-ul dvs.

Un astfel de plugin care vă permite să schimbați rapid locația paginii de conectare este WPS Hide Login.

WPS Ascunde autentificarea

Evitați utilizarea temelor și pluginurilor anulate

Temele sau pluginurile anulate sunt cele care conțin în mod obișnuit programe malware sau coduri modificate concepute pentru a provoca rău. Sunt adesea disponibile „la ieftin”, motiv pentru care atrag oamenii. La urma urmei, nimănui nu-i place să cheltuiască bani pe teme și pluginuri premium. Cu unele teme și pluginuri anulate disponibile pentru o fracțiune din costul versiunii „autentice”, puteți vedea de ce sunt tentante să le utilizați.

În realitate, „economiile” pe care le faceți folosind versiunile anulate pot fi adesea umbrite de costurile suportate ca urmare a infectării site-ului dvs. cu malware. Chiar dacă nu conțin cod rău intenționat, vor avea adesea reclame și ferestre pop-up enervante care pot strica experiența pluginului sau a temei. În plus, ele nu sunt, desigur, acceptate de dezvoltatorul original, ceea ce înseamnă că nu există nimeni la care să apeleze dacă ceva nu merge bine.

Pe scurt, nu folosiți teme sau pluginuri anulate... chiar nu merită!

Concluzie

Un site web piratat nu este în interesul nimănui (în afară, desigur, de hacker). Deși găzduirea WordPress gestionată de înaltă calitate poate îmbunătăți în mod semnificativ securitatea site-ului dvs., este, de asemenea, important să vă amintiți că dvs., în calitate de proprietar al site-ului web, aveți un rol de jucat în securizarea site-ului dvs.

Urmând chiar și unii dintre pașii simpli menționați mai sus poate ajuta cu adevărat la îmbunătățirea securității site-ului dvs. și merită implementat.