Top 10 recomandări de securitate WordPress

Publicat: 2023-02-15

Care sunt primii zece pași pe care îi puteți face pentru a vă proteja site-ul WordPress? Ce măsuri de întărire a securității vor avea cel mai mare impact asupra siguranței site-ului dvs.? Securitatea este întotdeauna un subiect fierbinte în comunitatea WordPress, iar întrebările ca acestea sunt importante dintr-un motiv întemeiat. WordPress alimentează aproape jumătate din internet, iar poziția sa de lider îl face o țintă de mare prioritate pentru hackeri.

Mii de site-uri web WordPress cad victimele atacurilor cibernetice în fiecare zi. Este o picătură în găleata din numărul total de site-uri WordPress, dar dacă ți se întâmplă? Asta e imens. Unii proprietari de site-uri suferă consecințe pe termen lung de la pierderea datelor, furtul de date și frauda datorată. Politicile slabe de securitate și managementul riscurilor au creat astfel de dezastre. Ce înseamnă să ai politici de securitate solide ca proprietar de site WordPress? Care sunt principalele riscuri și cum le puteți gestiona?

Cheia este să creați fundații sigure și apoi să continuați să construiți pe ele cu practici de securitate consecvente. Acest ghid vă va învăța cum să faceți asta și să vă securizați site-ul WordPress astăzi.

În acest ghid, vom arunca o privire profundă în securitatea WordPress. Veți afla despre cele mai periculoase atacuri cibernetice care vizează WordPress. Veți învăța cum să minimizați riscul de a le deveni victimă. Vă vom oferi primele zece recomandări de securitate WordPress și vă vom explica cum să le implementați. Atunci te vei putea apăra împotriva celor mai sofisticate și răuvoitoare atacuri de astăzi.

Este WordPress Securizat? Da!

Pe scurt, da, platforma de bază WordPress este sigură.

Fiind un proiect de software open-source matur, vechi de douăzeci de ani, WordPress este unul dintre cele mai testate și mai sigure cadre de creare de site-uri web.

O comunitate de dezvoltatori și experți în securitate menține nucleul WordPress. Mai mult, baza de cod este disponibilă publicului. Asta înseamnă că cercetătorii de securitate sunt liberi să o analizeze. Sub controlul public, orice erori care au trecut fazele inițiale de testare ale unei noi versiuni tind să fie descoperite rapid. WordPress primește actualizări regulate și corectează rapid orice vulnerabilități găsite în nucleul WordPress. Această adaptare constantă crește securitatea și calitatea în general a platformei.

Ce face un site WordPress nesigur?

Când oamenii construiesc site-uri cu WordPress, securitatea poate să nu fie în fruntea lor. Personalizarea neglijentă combinată cu practicile de securitate proaste (sau deloc) introduce riscuri semnificative de securitate pentru întregul ecosistem WordPress.

Proprietarii de site-uri care nu execută actualizări

Actualizările regulate și asistența de la dezvoltatorii WordPress fac WordPress extrem de sigur. Cu toate acestea, popularitatea WordPress are mult de-a face cu ușurința de a-l personaliza cu pluginuri și teme. Aceste suplimente de la terți pot fi sau nu la fel de bine acceptate și testate ca nucleul WordPress. De asemenea, trebuie să fie actualizate când se lansează versiuni noi. Pentru un site WordPress cu 12-24 de plugin-uri, pot fi disponibile câteva actualizări noi în fiecare săptămână. Lăsând vulnerabilitățile cunoscute necorecte și eșecul realizării actualizărilor regulate crește semnificativ probabilitatea ca site-ul dvs. WordPress să fie spart.

Nucleul WordPress primește actualizări pe tot parcursul anului. De obicei, vor fi patru lansări majore. Versiunile de securitate și întreținere vor apărea, de asemenea, pe măsură ce sunt necesare. Începând cu 2023, aproximativ 60% dintre site-urile WordPress folosesc cea mai recentă versiune (6.1) de bază WordPress. 40% nu o fac, iar asta nu este bine pentru securitatea lor. Din decembrie 2022, versiunile WordPress 3.7 – 4.0 nu mai sunt acceptate și este posibil să nu primească corecții de securitate.

Proprietari de site și gazde care nu actualizează PHP

O statistică mai îngrijorătoare este că multe site-uri WordPress folosesc o versiune de PHP mai mică decât 7.4. PHP face parte din mediul server al gazdei dvs. Este limba în care rulează WordPress. La începutul anului 2023, 55% din toate site-urile WordPress erau găzduite pe PHP 7.4. Aceasta este ultima versiune majoră a ramurii PHP 7. Este cea mai înaltă versiune de PHP acceptată oficial de WordPress în acest moment, deși multe gazde WordPress oferă PHP 8. Gazdele WordPress bine gestionate vor menține securitatea PHP 7, dar acesta a ajuns la sfârșitul vieții pentru suport oficial. Pluginurile WordPress vor necesita PHP 8 din ce în ce mai mult în timp. Site-urile care nu țin pasul cu dezvoltarea WordPress și PHP riscă mai mult să fie piratate.

De ce este importantă securitatea WordPress

Securitatea site-ului WordPress contează! Acum este întotdeauna cel mai bun moment pentru a începe să o luați în serios dacă nu aveți practici de securitate consecvente. Sofisticarea și volumul în creștere al atacurilor cibernetice fac ca securitatea site-ului web să fie extrem de importantă, în special pentru proprietarii de site-uri WordPress. Atacatorii nu aleg pur și simplu ce site-uri web să pirateze. Atacurile cibernetice moderne sunt extrem de automatizate și mii de site-uri WordPress pot fi vizate simultan. Popularitatea WordPress și numărul de site-uri care nu au fost actualizate îl fac o țintă mare și ușoară.

Indiferent dacă conduceți un blog, un site web de afaceri sau un magazin online, vi se încredințează siguranța clienților dvs. și a datelor acestora. O încălcare a datelor vă poate pune afacerea în pericol și vă poate afecta în mod semnificativ reputația. Practicile proaste de securitate pot duce la pierderi financiare grave.

Un studiu recent a arătat că majoritatea întreprinderilor mici și mijlocii (IMM-uri) cred că nu sunt ținte pentru hacking, dar greșesc. Atacurile sunt în creștere și le vizează în mod specific. În medie, companiile mici care se confruntă cu o încălcare a securității digitale ajung să plătească costuri de peste 100.000 USD.

Recomandări de securitate WordPress

Cele mai frecvente cinci probleme de securitate WordPress

Cele mai frecvente amenințări cu care s-a confruntat WordPress în 2022 care exploatează vulnerabilitățile interne ale site-ului au fost atacurile cross-site scripting (XSS) și cross-site request forgery (CSRF), precum și injecțiile SQL (SQLi). Sarcinile utile comune sau daunele aduse site-urilor piratate și infectate includ ușile din spate și redirecționările rău intenționate. În cele din urmă, cele mai frecvente atacuri nu implică deloc o vulnerabilitate software. Acestea sunt încercări de conectare în forță brută, umplerea parolelor, skimmingul cardurilor, cardurile și atacurile distribuite de refuzare a serviciului (DDoS).

Să aruncăm o privire asupra acestor amenințări și să cercetăm soluțiile care le vor împiedica să pătrundă în site-ul dvs. WordPress.

Umplerea parolelor, autentificarea cu forță brută și atacurile DDOS

Atacurile de forță brută și DDoS sunt atacuri cibernetice puternic distribuite, conduse de bot. Ei încearcă să pătrundă într-un site web sau să-l scoată offline, având serverul care îl găzduiește supraîncărcat cu solicitări web. Ambele tipuri de atacuri implică adesea o rețea de roboți (cunoscută și ca botnet) controlată de atacator.

Atacurile de conectare în forță brută, cunoscute și ca atacuri de ghicire a parolei, folosesc o rețea de computere (de obicei piratate) pentru a testa mii de combinații aleatorii de litere, numere și simboluri pentru a descoperi un nume de conectare și o parolă valide pentru un site vizat.

Umplerea parolelor este un tip de atac cu forță brută care utilizează parole reale furate în altă parte pentru a obține acces la site-ul dvs. Dacă dvs. sau utilizatorii site-ului dvs. ați folosit aceleași date de conectare pe un alt site care a fost compromis, introducerea parolelor poate avea succes pe site-ul dvs.

Când un atacator încearcă mii de autentificare pe minut, poate avea efectul unui atac DDoS. DDoSe-urile aruncă atât de multe cereri către serverul dvs. încât este supraîncărcat. Uneori, atacurile DDoS sunt efectuate pur și simplu pentru a scoate site-urile offline în acest fel.

Când vine vorba de WordPress și WooCommerce, atacurile de cardare sunt un bun exemplu de încercare în forță brută de a introduce numerele de cont furate de carduri de credit într-un site de comerț electronic pentru a face achiziții frauduloase. Atacurile de cardare pot avea, de asemenea, un efect DDoS.

Cross-Site Scripting și solicitare de falsificare

Cross-site scripting și cross-site request falsificare, cunoscute și ca XSS și CSRF, sunt atacuri cibernetice care încearcă să ruleze scripturi rău intenționate pe site-ul dvs. care vor exploata computerele vizitatorilor dvs. Folosind site-ul dvs., aceste atacuri trimit solicitări neautorizate de la acesta în numele utilizatorului dvs. Scopul este să fraudați vizitatorii site-ului dvs. și să furați informații sensibile sau bani de la aceștia. Scripturile între site-uri și falsificarea cererilor sunt considerate două dintre cele mai periculoase atacuri cibernetice care vizează site-urile WordPress.

Unul dintre cele mai proeminente exemple de atacuri de scripting între site-uri care afectează WordPress implică skimmer-uri de carduri bazate pe JavaScript injectate în magazinele WooCommerce. Programul malware de tip card-skimming încărcat de pe site-ul atacatorului este injectat în browserele vizitatorilor dvs. Acest cod rău intenționat va încerca să fure informații de plată esențiale de pe pagina de finalizare a comenzii odată ce achiziția este efectuată.

Backdoors și Web Shells

Ușile din spate și shell-urile web sunt două tipuri asociate de software rău intenționat care sunt adesea încărcate pe site-uri web piratate ca sarcină utilă în încălcarea inițială. Ambele permit un nivel mai profund de daune: infecția cu malware. Ambele sunt instrumente pe care le folosesc hackerii rău intenționați pentru a săpa mai adânc în serverul și aplicațiile dvs. web sau pentru a efectua fraude și alte atacuri asupra altor site-uri.

Ușile din spate sunt software care este injectat într-un site web pentru a permite atacatorului să obțină acces neautorizat în zonele sale critice, ocolind metodele normale de autentificare. La rândul lor, shell-urile web sunt utilități de gestionare a fișierelor rău intenționate utilizate de hacker pentru a încărca mai multe încărcări utile rău intenționate pe site-ul web compromis.

Ușile din spate se pot strecura adesea pe lângă proprietarii de site-uri web și chiar și software antivirus. O ușă din spate va permite hackerului să revină și să reinfecteze sau să exploateze în continuare un site web la o dată ulterioară, chiar dacă au fost luate toate măsurile de securitate necesare. În mod similar, dacă un shell web nu este eliminat, atacatorul va rămâne în controlul site-ului web.

Redirecționări rău intenționate

Unul dintre cele mai comune obiective ale unui atacator este să vă infectați vizitatorii cu malware. Una dintre cele mai comune modalități de a atinge acest obiectiv este redirecționarea utilizatorilor nebănuiți de pe site-uri web de încredere asupra cărora atacatorii au câștigat controlul.

Hackerii pot plasa redirecționări rău intenționate oriunde pe site-urile web piratate, ceea ce le poate face dificil de localizat și eliminat. Adesea, proprietarii de site-uri trebuie să reinstaleze WordPress (ceea ce este simplu) sau să-și restaureze întregul site dintr-o copie de rezervă (ceea ce poate fi mai dificil) pentru a-l șterge de redirecționări rău intenționate după ce au corectat vulnerabilitatea care a făcut posibilă această exploatare.

Ca tip de spam SEO, hackurile farmaceutice au fost unul dintre cele mai notorii atacuri care afectează site-urile WordPress. Atacatorii umplu un site web WordPress compromis cu cuvinte cheie spam pentru medicamente populare, în încercarea de a-l obține pe locul înalt în motoarele de căutare și apoi redirecționează vizitatorii către portaluri frauduloase care vând produse farmaceutice reglementate. De cele mai multe ori, atacatorii plasează redirecționări rău intenționate într-un .htaccess file sau creează un fișier .ico aparent inofensiv în acest scop.

Atacurile de injectare SQL

Un atac de injecție SQL, cunoscut și sub denumirea de inserție SQL (SQLi), este un tip de atac de injecție de date care exploatează validarea insuficientă a intrărilor utilizatorului și care permite unui atacator să manipuleze baza de date a site-ului web într-un mod rău intenționat. Atât injecțiile SQL, cât și scripturile între site-uri profită de așa-numitele vulnerabilități de intrare care pot afecta anumite zone ale site-ului dvs. WordPress. Vulnerabilitățile de intrare apar atunci când un plugin acceptă date sau conținut trimis de utilizator, dar nu îl verifică pentru cod rău intenționat. Acest cod poate executa interogări în baza de date pentru a fura date private sau a le deteriora.

Top 10 recomandări de securitate WordPress

Când vine vorba de securitatea site-ului WordPress, o abordare atentă a reducerii suprafeței de atac este esențială. Cunoașterea celor mai comune vulnerabilități WordPress și a tipurilor de atacuri cibernetice vă va ajuta să vă îmbunătățiți în mod semnificativ securitatea site-ului. Următoarele 10 cele mai importante recomandări de securitate WordPress sunt cunoștințele de bază de care aveți nevoie pentru a securiza orice site WordPress. Majoritatea acestor recomandări sunt relativ ușor de urmat și nu necesită soluții de securitate plătite.

Efectuați actualizări regulate și nu instalați niciun software din surse neverificate

Una dintre cele mai importante recomandări de securitate WordPress este să efectuați actualizări regulate de bază, teme și plugin. Asigurați-vă că tot software-ul pe care îl instalați provine din surse verificate și de încredere. Deoarece WordPress este scris în PHP, asigurați-vă că utilizați o versiune PHP acceptată din cea mai recentă versiune majoră. În acest moment, este PHP 7.4 cu doar suport beta pentru PHP 8.

Funcțiile WordPress implicite rareori satisfac toate nevoile proprietarilor de afaceri, așa că extind capacitățile platformei instalând mai multe plugin-uri și teme. Temele și pluginurile de la terți măresc suprafața de atac, făcând site-urile WordPress vulnerabile la mai multe amenințări de securitate.

Probleme majore pot veni din utilizarea versiunilor neoficiale, piratate, ale pluginurilor și temelor plătite. Acestea provin întotdeauna din surse foarte discutabile. Utilizarea versiunilor învechite de WordPress și eșecul în remedierea vulnerabilităților este, de asemenea, extrem de riscantă.

Utilizați un plugin de securitate precum iThemes Security Pro

Cel mai bun mod de a vă menține site-ul în siguranță este să activați actualizările automate pentru bază, teme și pluginuri. iThemes Security Pro poate urmări cu ușurință toate actualizările software disponibile și poate instala versiuni noi de bază WordPress, precum și teme și pluginuri. Dacă gestionați mai multe site-uri web WordPress, iThemes Sync Pro vă permite să efectuați toate sarcinile de administrare dintr-o singură interfață și să profitați de monitorizarea timpului de funcționare și urmărirea valorilor SEO.

Majoritatea soluțiilor de găzduire WordPress, cum ar fi planurile de găzduire WordPress în cloud gestionate oferite de Nexcess, se ocupă, de asemenea, de toate actualizările de software pentru dvs. și chiar vin cu instrumente încorporate, cum ar fi Comparația vizuală, pentru a vă ajuta să urmăriți eventualele conflicte de pluginuri și alte probleme înainte de efectuarea oricăror actualizări. Nexcess vă oferă, de asemenea, un catalog de soluții premium WordPress. Oferă Kadence WP ca temă de blocuri încorporată cu blocuri personalizate pentru a vă ajuta să proiectați site-ul web visat, asigurând în același timp securitatea acestuia.

Creați o strategie puternică de backup

O strategie puternică de backup este absolut esențială pentru securitatea WordPress. Efectuarea unor copii de rezervă regulate ale site-ului dvs. WordPress vă pregătește pentru o recuperare ușoară în cazul unei încălcări, a unei actualizări eșuate sau a oricărei alte probleme care ar putea apărea.

Cel mai bine este să aveți cel puțin zece zile sau chiar două săptămâni de copii de rezervă complete WordPress care includ baza de date WordPress, fișierele site-ului web și orice alt conținut asociat. Păstrarea backup-urilor săptămânale și lunare poate fi extrem de benefică pe lângă backup-urile zilnice și orare.

Asigurați-vă că urmați principiul redundanței datelor. Păstrarea copiilor de lucru ale site-ului dvs. WordPress în mai multe locuri. Acest lucru vă va ajuta să vă recuperați informațiile în cazul în care se întâmplă ceva cu o arhivă de rezervă

Puteți utiliza soluțiile de rezervă furnizate de furnizorul dvs. de găzduire, inclusiv backup-urile cPanel și Acronis, pentru a salva copii ale site-ului dvs. web în cicluri zilnice, săptămânale și lunare. un plugin de backup WordPress vă poate ajuta să creați un program de backup mai flexibil. BackupBuddy este un plugin de protecție și recuperare a datelor de clasă mondială pentru WordPress. Vă poate ajuta să creați o strategie puternică de backup și acces ușor la restaurări cu un singur clic oricând aveți nevoie de ele.

Efectuați o scanare regulată a vulnerabilităților și a programelor malware

Scanarea vulnerabilităților și monitorizarea integrității fișierelor sunt unul dintre cele mai bune instrumente pe care le puteți folosi pentru a proteja toate zonele critice ale site-ului dvs. WordPress. Interfața încorporată WordPress Site Health este un instrument excelent pentru a începe. Dacă aveți nevoie de mai multe recomandări de securitate WordPress adaptate site-ului dvs. web, iThemes Pro Site Scan vă va oferi un raport cuprinzător despre securitatea site-ului dvs. WordPress.

Prevenirea este cheia, dar la fel este și detectarea timpurie și atenuarea atacurilor. Scopul principal al majorității programelor malware este să rămână nedetectat cât mai mult timp posibil. Nu este neobișnuit să ai site-uri WordPress piratate săptămâni întregi, până când proprietarii lor observă. iThemes Security Pro oferă monitorizare avansată a modificării fișierelor, care vă va alerta oricând există vreo activitate suspectă în fișierele site-ului dvs. WordPress.

Efectuarea de scanări regulate de malware va ajuta la identificarea timpurie a unei infecții cu malware. Aceasta este cheia pentru blocarea băieților răi și curățarea site-ului dvs. WordPress înainte de a se produce daune ireversibile. Dacă sunteți în căutarea unor scanere malware excelente, ImunifyAV de la CloudLinux s-a dovedit a fi extrem de fiabil și ușor de utilizat.

Păstrați permisiunile pentru fișiere în siguranță și protejați wp-config.php

Permisiunile fișierelor WordPress pot afecta foarte mult securitatea generală a site-ului dvs. WordPress. Setările de permisiuni incorecte pot pune întregul sistem în pericol, mai ales dacă vă întrețineți propriul server și rulați mai multe site-uri pe acesta. Configurarea în siguranță a permisiunilor pentru fișiere WordPress este absolut esențială.

Una dintre cele mai vulnerabile zone ale site-ului dvs. WordPress este principalul său fișier de configurare: wp-config.php . Datele critice stocate acolo, inclusiv informațiile de conectare la baza de date WordPress, fac din wp-config.php o țintă cu prioritate ridicată pentru atacurile care încearcă să preia controlul asupra site-ului dvs.

Una dintre recomandările cheie de securitate WordPress pe care le puteți implementa chiar acum este setarea permisiunilor pentru fișierul wp-config.php al site-ului dvs. la cel puțin 640. Dacă nu sunteți sigur ce permisiuni de fișiere ar trebui să aibă fișierele altor site-uri web, verificați permisiunile fișierelor de la iThemes Security Pro. instrumentul vă va ajuta să aflați.

Compromisările între conturi sunt facilitate de permisiunile nesigure ale fișierelor și de izolarea slabă a utilizatorilor

Hackerii exploatează în mod activ izolarea slabă a utilizatorilor, combinată cu permisiuni de fișiere nesigure, pentru a efectua atacuri periculoase între conturi. Acestea sunt cunoscute sub denumirea de „hack-uri de linkuri simbolice” sau „Anonymous Fox” hack-uri WordPress.

Folosind un site piratat ca punct de intrare, un atacator poate crea legături simbolice între conturi către fișierele de configurare ale altor site-uri web, cum ar fi wp-config.php , pentru a expune informații sensibile și pentru a obține controlul asupra tuturor site-urilor de pe serverul dat. Acest hack este posibil numai dacă fișierul dvs. wp-config.php poate fi citit de alți utilizatori de pe același server.

Unele recomandări de securitate WordPress sugerează mutarea wp-config.php , ceea ce ar putea ajuta, dar acest lucru nu va aborda cu adevărat toate riscurile. Păstrați permisiunile pentru fișiere în siguranță și asigurați-vă că toate site-urile web sunt izolate unele de altele pe același server. Una dintre cele mai bune modalități de a realiza acest lucru este să utilizați CageFS, oferit de sistemul de operare CloudLinux.

Configurați un paravan de protecție pentru aplicații web

O altă recomandare cheie de securitate WordPress este utilizarea unui firewall pentru aplicații web sau, mai bine, mai multe sisteme de apărare, cum ar fi un WAF bazat pe gazdă și unul bazat pe cloud. Un firewall pentru aplicații web servește ca primă linie de apărare împotriva tuturor atacurilor cibernetice cunoscute, eliminând orice trafic rău intenționat pe baza unui set de reguli actualizat constant.

WAF-urile scanează tot traficul web pentru orice solicitare suspectă pe baza unui număr de modele stabilite de regulile pe care le definim. Acest lucru asigură un nivel ridicat de protecție împotriva atacurilor DDoS și a forței brute, precum și împotriva SQLi și XSS.

Un WAF bazat pe cloud, cum ar fi Cloudflare WAF, poate atenua o gamă largă de atacuri, reducând în același timp sarcina pe serverul de origine. Solicitările care ajung la serverul care găzduiește site-ul dvs. WordPress sunt apoi supuse unei alte runde de verificări de către un WAF bazat pe gazdă, cum ar fi ModSecurity. Ambele soluții sunt complet gratuite și sunt considerate standardul industriei pentru securitatea WordPress.

Configurați anteturi de securitate HTTP

Antetele de răspuns de securitate HTTP sunt unul dintre cele mai valoroase instrumente pe care le aveți pentru a crește securitatea site-ului dvs. WordPress. La fel ca firewall-urile aplicațiilor web, anteturile de răspuns HTTP pot bloca accesul la zonele critice ale site-ului dvs. și pot preveni orice activitate care vă poate pune în pericol clienții și datele acestora.

Cele mai importante anteturi de securitate HTTP pentru WordPress includ:

  • Politica de securitate a conținutului (CSP). O soluție robustă care poate ajuta la atenuarea scripturilor între site-uri și clickjacking-ul și a altor atacuri cibernetice periculoase care vizează site-urile WordPress. Utilizarea CSP vă ajută să definiți lista de resurse care pot încărca conținut de pe site-ul dvs. web, precum și lista de resurse din care site-ul dvs. poate încărca conținut.
  • Set-Cookie . Antetul de răspuns Set-Cookie controlează modul în care cookie-urile sunt trimise de la server la browserul utilizatorului. Configurarea atributului SameSite vă poate ajuta să vă apărați site-ul WordPress împotriva falsificării cererilor pe mai multe site-uri și a clickjacking-ului.
  • Securitate strictă a transporturilor (HSTS). Antetul de răspuns HSTS asigură că site-ul dvs. WordPress poate fi accesat numai prin HTTPS, care permite criptarea end-to-end între server și browser.

De cele mai multe ori, puteți configura antetele de securitate HTTP pentru site-ul dvs. WordPress în fișierul local .htaccess . Vă rugăm să rețineți că majoritatea furnizorilor de găzduire WordPress au configurat antete de răspuns HTTP pentru dvs., așa că poate fi necesar să vă consultați cu echipa de asistență a gazdei pentru a vedea dacă trebuie să redefiniți regulile la nivel local.

Dezactivați execuția PHP în folderul de încărcări și dezactivați indexarea directorului

Când vine vorba de WordPress, hackerii tind să ascundă malware în foldere care în mod normal nu stochează niciun cod executabil. Un astfel de folder este directorul de încărcări în wp-content . Dezactivarea execuției PHP în folderul de încărcări este o idee bună. Acest lucru poate ajuta la limitarea domeniului de aplicare a unei infecții cu malware și la accelerarea remedierii malware.

Dacă aveți Apache HTTP disponibil pentru utilizare, creați un fișier .htaccess în wp-content/uploads și adăugați regula de mai jos. Acest lucru va bloca încărcarea oricăror scripturi PHP din folderul de încărcări. Aceasta este o locație comună în care un atacator poate plasa cod rău intenționat.

Pe lângă blocarea execuției PHP, dezactivarea indexării directoarelor pe site-ul dvs. web este un alt element important din lista recomandărilor noastre de securitate WordPress. Dacă indexarea directorului nu este dezactivată, browserul va încărca lista de fișiere prezente în directorul solicitat dacă îi lipsește un fișier index.php sau index.html .

Atacatorii exploatează pe scară largă această abilitate, mai ales când vine vorba de atacuri cu linkuri simbolice între conturi prezentate mai devreme în ghid. Puteți bloca indexarea directoarelor la nivel global sau pe bază de director folosind următoarea regulă în .htaccess :

Schimbați prefixul bazei de date WordPress și numele de utilizator implicit de administrator

Dacă nu modificați procesul de instalare implicit, WordPress va folosi automat prefixul wp- standard pentru baza de date și va crea un utilizator admin implicit. Deoarece aceasta este de cunoștință publică, atacurile cu forța brută și injecția de date presupun acest lucru.

Eliminați utilizatorul administrator implicit și schimbați prefixul bazei de date WordPress cu ceva similar cu wp2789_ . Puteți face acest lucru prin redenumirea tuturor tabelelor bazei de date folosind phpMyAdmin sau prin interfața de linie de comandă MySQL. Asigurați-vă că actualizați apoi prefixul bazei de date în wp-config.php .

Restricționați accesul la XMLRPC și autentificarea WordPress

Când vine vorba de atacuri cu forță brută și DDoS, xmlrpc.php și pagina de conectare WordPress sunt cele două zone ale site-urilor WordPress pe care atacatorii le vizează cel mai mult. Dacă accesul la aceste două interfețe este nerestricționat, site-ul dvs. WordPress va suferi probabil de performanță slabă și timpi de nefuncționare frecvente. Mai mult, există toate posibilitățile ca, în cele din urmă, un hacker să poată sparge contul dvs. de administrator și să facă ravagii pe site-ul dvs.

XMLRPC este o interfață de programare a aplicațiilor (API) care permite WordPress să comunice cu alte sisteme și a făcut parte din WordPress încă de la începuturile platformei. Cu toate acestea, deoarece WordPress se bazează în mare măsură pe API-ul REST, XMLRPC este rar utilizat și poate fi, de obicei, dezactivat complet, fără consecințe negative. Puteți adăuga regula de mai jos în .htaccess file al site-ului dvs. web sau pur și simplu permisiunile fișierului xmlrpc.php la zero în acest scop.

Restricționarea accesului la panoul de administrare WordPress este o altă dintre recomandările noastre cheie de securitate WordPress. În timp ce schimbarea adresei de conectare WordPress face mult mai dificil de descoperit, protejarea cu parolă a paginii de conectare sau definirea unei game exclusive de adrese IP care o pot accesa va elimina în mod eficient riscul ca un atacator să obțină acces neautorizat la backend-ul WordPress.

Utilizați parole puternice și configurați autentificarea cu mai mulți factori

Importanța utilizării parolelor puternice nu poate fi exagerată. Cu toate acestea, unii proprietari de site-uri WordPress tind să uite că panoul de administrare WordPress nu este singurul vector de atac. Un număr mare de site-uri WordPress sunt sparte ca urmare a accesului unui atacator la conturile panoului de control al găzduirii web.

Cu multe gazde, numele contului site-ului dvs. WordPress corespunde unui utilizator real creat pe serverul gazdă. Este ușor de ghicit sau vizibil public. Combinată cu parola sa, perechea de acreditări vă poate permite să vă conectați la site-ul dvs. prin SSH și SFTP. Acesta este modul în care accesați panoul de control al găzduirii. Dacă acest cont este compromis, un atacator poate obține acces deplin nu numai la site-ul dvs., ci și la întregul cont de găzduire, la e-mail și chiar la numele de domeniu sau la înregistrările DNS.

Adoptă politici puternice privind parolele și autentificarea cu mai mulți factori atât pentru utilizatorii dvs. administratori WordPress, cât și pentru contul panoului de control al găzduirii site-ului dvs. Dacă este posibil, dezactivați complet autentificarea cu parolă pentru SSH în favoarea metodelor de autentificare bazate pe chei.

iThemes Security Pro vă permite să configurați autentificarea fără parolă pentru panoul de administrare WordPress folosind chei de acces cu autentificare biometrică. Acest lucru, combinat cu autentificarea multifactorială configurată pentru contul dvs. de găzduire, asigură o protecție deplină împotriva atacurilor de forță brută și vă securizează site-ul chiar dacă datele dvs. de conectare au fost compromise.

Implementați cele mai bune recomandări de securitate WordPress cu iThemes Security Pro

Fiind cel mai popular sistem de management al conținutului din lume, WordPress este o țintă cu prioritate ridicată pentru hackeri de pretutindeni. Pentru a exploata încălcările de date și a distribui programe malware, atacatorii folosesc o gamă largă de tehnici sofisticate, cum ar fi injecțiile de baze de date, scripturi între site-uri și falsificarea cererilor între site-uri. Cu excepția cazului în care site-ul dvs. WordPress este protejat de aceste amenințări comune de securitate, acesta poate deveni o țintă ușoară.

Cu nenumăratele recomandări de securitate WordPress care plutesc, poate fi dificil să înțelegeți cum să vă mențineți site-ul în siguranță, mai ales când există mai multe strategii pentru a atenua fiecare atac cibernetic. Facerea securității WordPress mai accesibilă este ceea ce se străduiește iThemes. Lasă iThemes Security Pro și BackupBuddy să fie asistenții tăi personali de securitate! Ele oferă mai mult de 50 de moduri de a vă proteja site-ul WordPress de cele mai periculoase atacuri cibernetice existente astăzi.

Cel mai bun plugin de securitate WordPress pentru a securiza și proteja WordPress

WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. Pluginul iThemes Security Pro elimină presupunerile din securitatea WordPress pentru a facilita securizarea și protejarea site-ului dvs. WordPress. Este ca și cum ai avea în personal un expert în securitate cu normă întreagă care monitorizează și protejează constant site-ul tău WordPress pentru tine.

Obțineți iThemes Security Pro