Cum să consolidați WordPress: un ghid în 18 pași cu instrumente esențiale

Publicat: 2024-08-01

Site-urile WordPress pot deveni vulnerabile dacă nu sunt bine întreținute. Câteva actualizări omise sau un plugin prost, iar site-ul dvs. este în pericol. Atacatorii pot intra și prin pagina de conectare dacă aceasta nu este securizată corespunzător sau pot opri site-ul dvs. cu atacuri distribuite de refuzare a serviciului (DDoS).

Prea multă întuneric și nenorocire?

Ei bine, din fericire, aceste atacuri pot fi prevenite cu ușurință dacă luați pașii necesari pentru a consolida WordPress. Sistemul de management al conținutului (CMS) vă oferă control deplin asupra setărilor site-ului dvs., ceea ce înseamnă că puteți implementa strategii pentru a-l proteja de diferite tipuri de atacuri.

În acest articol, vă vom oferi un curs complet de securitate WordPress. Vom discuta ce instrumente ar trebui să utilizați, vom parcurge 18 pași pentru a consolida WordPress și vă vom arăta cum Jetpack Security vă poate ajuta să vă mențineți site-ul în siguranță cu un singur plugin. Să ajungem la asta!

Importanța întăririi site-ului dvs. WordPress

Atacatorii cibernetici au tendința de a căuta pe web site-uri cu vulnerabilități pe care le pot exploata. Chiar dacă site-ul dvs. este relativ nou, atacatorii îl pot viza în continuare pentru a distribui programe malware sau a fura date.

Acest lucru face ca securitatea WordPress să fie crucială pentru toate site-urile web. La momentul scrierii acestui articol, există peste 50.000 de vulnerabilități WordPress documentate. Aceasta include peste 7.800 de plugin-uri vulnerabile cunoscute și aproximativ 670 de teme.

Vulnerabilitățile continuă să crească an de an, datorită popularității tot mai mari a WordPress și a numărului mare de plugin-uri și teme noi de pe piață.

Dacă site-ul dvs. este vizat, este posibil să pierdeți accesul la acesta și datele dvs. pot fi compromise. În funcție de cât de gravă este încălcarea, poate dura ceva timp pentru a vă repara site-ul și acest lucru poate duce la multe conversii pierdute. În plus, dacă dețineți o afacere online mai mare, a fi victima unei infracțiuni cibernetice poate duce la pierderi financiare grave.

Vestea bună este că puteți face multe pentru a vă proteja site-ul WordPress. Dar pentru a-l menține în siguranță, va trebui să fii proactiv.

Instrumente esențiale pentru a vă consolida site-ul WordPress

Pe parcursul acestui ghid, ne vom referi la câteva instrumente de securitate pe care le puteți utiliza. Acestea vă vor ajuta să implementați măsuri pentru a vă consolida site-ul WordPress. Să aruncăm o privire la ce sunt acestea.

1. Un scanner de vulnerabilități

Un scanner de vulnerabilități este un software care caută prin site-ul dvs. web probleme de securitate. În cazul WordPress, un scaner va parcurge fișierele, pluginurile și temele site-ului dvs. pentru a căuta potențiale lacune de protecție pe care atacatorii le pot exploata.

Scanerul compară datele pe care le găsește cu o bază de date de vulnerabilități, cum ar fi WPScan. Aceasta este cea mai mare bază de date de vulnerabilități de securitate WordPress cunoscute, care este actualizată în mod continuu.

Jetpack Protect este o opțiune de top atunci când vine vorba de scanarea site-ului dvs. pentru vulnerabilități.

Jetpack Protect este o opțiune de top atunci când vine vorba de scanarea site-ului dvs. pentru vulnerabilități. Pluginul vă permite să utilizați baza de date WPScan prin rularea de scanări automate pe site-ul dvs.

Dacă Jetpack detectează o vulnerabilitate, vă va anunța și vă va arăta cum să rezolvați problema. În cele mai multe cazuri, aceasta va implica ștergerea sau actualizarea pluginurilor sau temelor vulnerabile.

2. Un scanner de malware

Un scanner de malware funcționează similar cu un scaner de vulnerabilități. În acest caz, software-ul se concentrează pe găsirea fișierelor infectate și să vă ajute fie să le puneți în carantină, fie să le ștergeți, astfel încât să vă puteți elimina site-ul web de malware.

În cele mai multe cazuri, scanerele pentru vulnerabilități și malware funcționează mână în mână. WPScan, de exemplu, vă poate ajuta să identificați atât vulnerabilitățile, cât și programele malware pe site-ul dvs. WordPress.

Dacă utilizați Jetpack și aveți acces la planul de securitate (sau faceți upgrade la Protect la premium), pluginul vă va scana site-ul web pentru malware și vulnerabilități. Dacă găsește ceva în neregulă cu site-ul dvs., pluginul vă va oferi opțiuni pentru rezolvarea acestor probleme, adesea cu doar un clic sau două.

3. Un firewall pentru aplicații web (WAF)

Probabil că ești familiarizat cu conceptul de firewall. Acesta este un program care blochează traficul de intrare sau de ieșire de pe un server sau computer.

Un firewall pentru aplicații web (WAF) funcționează în mod similar. Este conceput pentru a vă ajuta să blocați traficul rău intenționat sau să împiedicați programele malware de pe site-ul dvs. să trimită informații.

Majoritatea WAF-urilor vin preconfigurate cu reguli despre ce fel de conexiuni să blocheze. Ei pot chiar identifica adrese IP rău intenționate cunoscute, în funcție de setările lor.

Jetpack Protect include un WAF cu setări de configurare simple. Puteți seta WAF-ul să utilizeze reguli automate, care sunt furnizate și actualizate în mod regulat de experții în securitate de la Jetpack. Aceste reguli automate sunt create pentru a bloca exploatările de mare severitate, astfel încât, chiar dacă aveți o vulnerabilitate într-o extensie, regula WAF poate să vă protejeze site-ul.

Pluginul vă permite, de asemenea, să puneți anumite adrese IP pe o listă de permise sau pe o listă de blocare. Acest lucru poate fi util dacă doriți să limitați cine poate accesa tabloul de bord.

Pluginul vă permite, de asemenea, să puneți anumite adrese IP pe o listă de permise sau pe o listă de blocare. Acest lucru poate fi util dacă doriți să limitați cine poate accesa tabloul de bord.

4. O soluție de rezervă offsite

Instrumentele de backup fac copii ale site-ului dvs. și le restaurează dacă este necesar. Ideea din spatele backup-urilor este că veți avea întotdeauna o copie recentă a site-ului dvs. în cazul în care acesta nu funcționează defectuos sau vă confruntați cu o problemă de securitate pe care nu o puteți rezolva cu ușurință.

Pentru un plus de securitate, se recomandă să stocați copii de siguranță atât pe site-ul dvs., cât și în afara acestuia, în cazul în care unul dintre ele eșuează. În acest fel, datele site-ului dvs. nu se pierd niciodată cu adevărat.

Deși puteți face backup manual pentru site-ul dvs., folosind un plugin dedicat, cum ar fi Jetpack VaultPress Backup, vă poate oferi liniște și automatiza întregul proces.

Acest plugin creează copii de siguranță în timp real ale site-ului dvs. și le stochează în afara site-ului timp de până la 30 de zile.

Acest plugin creează copii de siguranță în timp real ale site-ului dvs. și le stochează în afara site-ului timp de până la 30 de zile. Toate acestea se întâmplă automat, deși, dacă doriți, vă puteți crea propriile copii de rezervă manuale.

Jetpack salvează orice modificări pe care le faci site-ului tău pe măsură ce se întâmplă. Acest lucru elimină riscul pierderii parțiale a datelor atunci când trebuie să restaurați o copie de rezervă recentă. Pur și simplu accesați jurnalul de activitate și alegeți data și ora la care doriți să restaurați, iar Jetpack va începe să vă restaureze site-ul imediat (chiar dacă este complet offline).

Apropo de jurnalul de activitate...

5. Un jurnal de activitate pentru a monitoriza modificările site-ului

Un jurnal de activitate este un instrument care vă oferă o defalcare a lucrurilor care se întâmplă pe site-ul dvs. web. Puteți folosi aceste jurnale pentru a monitoriza diferite tipuri de activitate, inclusiv autentificări, instalări de pluginuri, încărcări postate și chiar modificări ale configurației site-ului dvs.

Importanța unui jurnal de activitate nu poate fi exagerată. Dacă colaborați cu alții pentru a rula un site web, acest instrument vă va oferi o perspectivă asupra a ceea ce fac toți ceilalți.

De asemenea, puteți utiliza un jurnal de activitate pentru a depana problemele. De exemplu, dacă scanerul dumneavoastră de vulnerabilități detectează brusc o problemă cu un plugin, puteți verifica jurnalele pentru a vedea când a fost instalat pluginul și de către cine.

Jetpack include un jurnal de activitate cu un cont gratuit WordPress.com, unde poți vedea ultimele 20 de evenimente de pe site-ul tău. Cu o licență premium, veți avea acces la evenimente din cel puțin ultimele 30 de zile

Cum să vă întăriți site-ul WordPress în 18 pași

Pe lângă instrumentele pe care le-am acoperit în secțiunea anterioară, va trebui, de asemenea, să luați măsuri pentru a consolida WordPress. Iată cele mai importante măsuri de securitate pentru site-ul dvs.

1. Faceți o copie de rezervă a site-ului dvs

Backup-urile sunt poate cea mai importantă parte a unei strategii cuprinzătoare de securitate. Având în permanență backup-uri recente înseamnă că, dacă site-ul dvs. este atacat sau infectat cu programe malware, puteți oricând să vă restaurați conținutul.

În mod ideal, veți folosi un plugin care automatizează backup-urile. Acest lucru elimină riscul de a uita să efectuați o copie de rezervă după efectuarea unor modificări semnificative site-ului dvs.

După cum am menționat, Jetpack VaultPress Backup este o soluție de backup puternică care este inclusă pe cont propriu sau cu un plan de calificare precum Jetpack Security. Utilizează un sistem de rezervă în timp real. Aceasta înseamnă că salvează de fiecare dată când faceți o modificare a site-ului dvs., astfel încât fiecare modificare nouă este protejată imediat.

Acest sistem este de preferat copiilor de rezervă programate. Cu acesta din urmă, riscați pierderea datelor dacă ultimul punct de restaurare este prea îndepărtat. Aceasta nu este o problemă dacă utilizați VaultPress Backup.

2. Instalați un plugin de securitate all-in-one

Există o mulțime de pluginuri de securitate WordPress din care să alegeți. Unele instrumente sunt concepute pentru scopuri specifice, cum ar fi activarea unui WAF sau a autentificării cu doi factori (2FA). Alții adoptă o abordare mai holistică și combină mai multe funcții pentru a vă proteja site-ul.

Ideea din spatele pluginurilor de securitate all-in-one este de a minimiza numărul de instrumente terțe pe care trebuie să le configurați pe site-ul dvs. web, obținând în același timp acces la cât mai multe funcții posibil.

Jetpack oferă o gamă largă de funcții de securitate. Dacă optați pentru pluginul gratuit, aveți acces la un jurnal de activitate, la funcționalitatea WAF, la o opțiune de autentificare sigură și multe altele.

Puteți extinde gama de funcții de securitate oferite de plugin înscriindu-vă la planul de securitate Jetpack.

Puteți extinde gama de funcții de securitate oferite de plugin înscriindu-vă la planul de securitate Jetpack. Acest plan vă oferă acces la o soluție de rezervă, scanare automată a programelor malware cu remedieri disponibile cu un singur clic, protecție împotriva spamului și multe altele.

În ceea ce privește valoarea, Jetpack Security oferă una dintre cele mai cuprinzătoare soluții de securitate pentru utilizatorii WordPress. Și dacă doriți, puteți începe oricând să utilizați pluginul gratuit și să actualizați la versiunea premium după ce vă simțiți confortabil.

3. Actualizați nucleul WordPress

Actualizarea WordPress la cea mai recentă versiune este unul dintre cele mai importante lucruri pe care le puteți face pentru a îmbunătăți securitatea site-ului dvs. Asta pentru că versiunile mai noi tind să includă remedieri și îmbunătățiri de securitate. Mai mult decât atât, dezvoltatorii software-ului lansează adesea patch-uri pentru a remedia vulnerabilități urgente.

Utilizarea versiunilor învechite de WordPress poate duce, de asemenea, la probleme de compatibilitate cu pluginuri și teme. Acestea pot face ca elementele cheie de pe site-ul dvs. să nu mai funcționeze.

Păstrarea WordPress actualizat este simplă. Când accesați tabloul de bord, WordPress vă va spune dacă există actualizări disponibile. Puteți actualiza WordPress făcând clic pe Tabloul de bord → Actualizări .

Rețineți că actualizarea WordPress poate duce la probleme de compatibilitate dacă pluginurile sau temele dvs. nu acceptă versiunea mai nouă.

Rețineți că actualizarea WordPress poate duce la probleme de compatibilitate dacă pluginurile sau temele dvs. nu acceptă versiunea mai nouă. Pentru a vă recupera după aceasta, veți dori să creați o copie de rezervă a site-ului dvs. înainte de actualizările majore.

Dacă utilizați VaultPress Backup, acest lucru nu va fi necesar. Pluginul va face backup site-ului dvs. în timp real, astfel încât veți avea un punct de restaurare disponibil înainte de actualizare, în cazul în care trebuie să vă restaurați site-ul.

4. Eliminați pluginurile și temele neutilizate

Pe măsură ce site-ul dvs. crește, este posibil să aveți nevoie de noi pluginuri și puteți chiar să treceți la o altă temă. Acest lucru ar putea introduce mai multe vulnerabilități site-ului dvs. Ca regulă generală, este inteligent să eliminați orice plugin sau teme de care nu mai aveți nevoie.

Procesul este simplu.

Accesați pagina de pluginuri sau teme din tabloul de bord. Apoi, dezactivați și ștergeți orice pe care nu le mai utilizați.

Accesați pagina de pluginuri sau teme din tabloul de bord. Apoi, dezactivează și șterge orice pe care nu le mai folosești.

Dacă decideți să reinstalați unele dintre aceste pluginuri la o dată ulterioară, este în regulă. Va dura doar câteva minute pentru a le instala și activa, deși poate fi necesar să le configurați din nou setările.

5. Actualizați toate pluginurile și temele rămase

După ce vă curățați lista de pluginuri și teme, veți dori să verificați dacă vreunul dintre elementele rămase de pe site necesită actualizări. Actualizările de pluginuri și teme pot fi la fel de importante ca actualizările de bază ale WordPress în ceea ce privește securitatea, deoarece sunt unii dintre cei mai obișnuiți vectori pentru atacuri.

WordPress vă va anunța despre orice plugin disponibil și actualizări ale temei atunci când accesați tabloul de bord. În mod ideal, veți actualiza componentele site-ului dvs. de îndată ce sunt disponibile versiuni noi.

Puteți face acest lucru din paginile de plugin și teme din tabloul de bord.

Dacă sunteți prea ocupat pentru a vă verifica site-ul în fiecare zi, puteți activa actualizările automate pentru fiecare plugin. Aceasta este o măsură simplă.

Dacă sunteți prea ocupat pentru a vă verifica site-ul în fiecare zi, puteți activa actualizările automate pentru fiecare plugin. Aceasta este o măsură simplă, dar poate minimiza drastic riscul de vulnerabilități pe site-ul dvs.

6. Aplicați o politică puternică de parole

Destul de des, încălcările site-ului web nu sunt cauzate de vulnerabilitățile WordPress, ci de o eroare umană. Mulți oameni folosesc acreditări slabe pentru a se conecta la site-urile lor web, facilitând accesul hackerilor la tabloul de bord.

Cel mai bun mod de a evita acest lucru este aplicarea unei politici puternice de parole. Când înregistrați un cont pe site-ul dvs. WordPress, o parolă sigură este generată pentru dvs.

Cel mai bun mod de a evita acest lucru este aplicarea unei politici puternice de parole.

Dacă utilizați Jetpack, veți avea și acces la funcționalitatea de autentificare cu doi factori (2FA), pe care o puteți utiliza pentru a proteja și mai mult pagina de conectare.

Dacă utilizați Jetpack, veți avea și acces la funcționalitatea de autentificare cu doi factori (2FA), pe care o puteți utiliza pentru a proteja și mai mult pagina de conectare.

Acest lucru poate fi foarte util dacă aveți mai mulți utilizatori pe site-ul dvs. (cum ar fi autorii și managerii de magazine). Chiar dacă utilizatorii dvs. țin de parole slabe, veți avea soluția 2FA pentru a vă proteja site-ul împotriva atacatorilor cu acces la aceste acreditări (mai multe despre asta mai târziu).

7. Limitați încercările de conectare

În general, dacă cineva nu își poate aminti detaliile de conectare, va încerca de obicei câteva date de conectare diferite și apoi va solicita resetarea parolei.

Dacă observați (prin jurnalele de activitate) că o persoană încearcă un număr mare de combinații de nume de utilizator și parolă, probabil că aveți de-a face cu un atac. De aceea, este o idee bună să limitați numărul de încercări de conectare pe care un utilizator le poate face într-o anumită perioadă de timp.

Aceasta este o caracteristică disponibilă în Jetpack. Pluginul oferă protecție împotriva forței brute care poate recunoaște adrese IP rău intenționate cunoscute și le poate bloca să încerce să se autentifice.

Pluginul oferă protecție împotriva forței brute care poate recunoaște adrese IP rău intenționate cunoscute și le poate bloca să încerce să se autentifice.

Protecția împotriva forței brute este activă în mod implicit cu Jetpack. Puteți revizui configurația sa accesând Jetpack → Setări. Aici, puteți adăuga și adrese IP permise, astfel încât Jetpack să nu vă împiedice din greșeală să accesați pagina de autentificare.

8. Întăriți securitatea de conectare cu 2FA

Un sondaj recent indică faptul că peste 40% dintre dezvoltatori consideră că implementarea 2FA este prioritatea lor principală. Această măsură minimizează riscul ca atacatorii să obțină acces la site-ul dvs. cu acreditări furate.

Autentificarea cu doi factori este o caracteristică de securitate critică, deoarece mulți utilizatori au parole slabe sau își refolosesc acreditările pe o varietate de site-uri. Cu 2FA, le cereți acestor utilizatori să ofere o altă formă de autentificare.

După cum am discutat, Jetpack vă permite să utilizați 2FA pentru site-ul dvs. WordPress. Acest lucru necesită ca utilizatorii să creeze un cont WordPress.com. Ei pot folosi apoi acest cont pentru a se conecta la alte site-uri WordPress, chiar și la cele care folosesc versiunea open-source a WordPress.

2FA este disponibil cu versiunea gratuită a Jetpack. Funcția poate fi activată sau dezactivată și nu trebuie să modificați setările avansate pentru a o configura, deoarece se bazează pe WordPress.com.

9. Eliminați conturile de utilizator neutilizate

Conturile de utilizator inactive pot prezenta un risc de securitate pentru site-ul dvs. web, mai ales dacă au permisiuni de nivel înalt (vom vorbi mai multe despre acest lucru în secțiunea următoare). Aceste conturi oferă oportunități suplimentare pentru încălcări de securitate, deoarece acreditările lor ar putea fi compromise și partajate pe web.

Acesta este motivul pentru care multe site-uri web îți vor șterge automat contul dacă este inactiv pentru perioade lungi de timp (după ce te avertizează, desigur). WordPress vă oferă control deplin asupra listei dvs. de utilizatori, ceea ce înseamnă că puteți adăuga sau șterge utilizatori după cum doriți.

Ștergerea utilizatorilor este un proces simplu. Accesați Utilizatori → Toți utilizatorii, găsiți contul și selectați opțiunea Ștergere.

Ștergerea utilizatorilor este un proces simplu. Accesați Utilizatori → Toți utilizatorii , găsiți contul și selectați opțiunea Ștergere . WordPress vă va cere confirmarea, dar utilizatorul însuși nu trebuie să aprobe ștergerea contului.

Poate doriți să contactați utilizatorii înainte de a le șterge conturile. Dar dacă un cont a fost inactiv de ani de zile, probabil că ar trebui eliminat.

10. Atribuiți rolul potrivit utilizatorilor rămași

După curățarea listei de utilizatori, următorul pas ar trebui să fie să revizuiți permisiunile pentru utilizatorii rămași. WordPress folosește un sistem de roluri simplu, fiecare rol având un set predeterminat de permisiuni.

Singurul rol de utilizator cu acces complet la toate setările WordPress este administratorul. Din motive de securitate, ar trebui să existe un singur administrator. Alte roluri WordPress includ autori, editori, colaboratori și abonați.

Unele plugin-uri adaugă și noi roluri de utilizator cu permisiuni actualizate.

Fiecare rol vine cu permisiuni care permit utilizatorilor să efectueze anumite sarcini. Autorii, de exemplu, își pot publica și edita propriile postări, dar nu și pe cele create de alți utilizatori.

Fiecare rol vine cu permisiuni care permit utilizatorilor să efectueze anumite sarcini. Autorii, de exemplu, își pot publica și edita propriile postări, dar nu și pe cele create de alți utilizatori.

În mod ideal, niciun utilizator nu ar trebui să aibă un rol care îi oferă mai multe permisiuni decât are nevoie. Atribuirea unor roluri greșite poate duce la probleme de securitate, deoarece utilizatorii pot modifica setările WordPress pe care nu ar trebui să le atingă.

Este important să revizuiți periodic lista de utilizatori pentru a vă asigura că toată lumea are rolurile corecte atribuite. Această practică simplă vă va ajuta să minimizați problemele de securitate cauzate de membrii echipei cu permisiuni incorecte.

11. Redenumiți contul implicit „admin”.

Contul de administrator WordPress este bijuteria coroanei pentru atacatori. Dacă obțin acces la el, vor putea face orice doresc pe site-ul dvs., inclusiv să fure date și să planteze malware.

În mod implicit, WordPress folosește numele de utilizator admin pentru contul de administrator. Puteți modifica acest lucru în timpul creării contului, dar nu ulterior.

Dacă utilizați numele de utilizator de administrator , aceasta este o ghicire ușoară pentru majoritatea atacatorilor, ceea ce înseamnă că trebuie doar să vă obțină parola. WordPress nu vă permite să schimbați numele de utilizator existente, chiar și ca administrator.

Dacă utilizați numele de utilizator de administrator, aceasta este o presupunere ușoară pentru majoritatea atacatorilor, ceea ce înseamnă că trebuie doar să vă obțină parola.

Pentru a evita acest lucru, puteți crea un nou cont de administrator, cu un nume de utilizator mai puternic, apoi îl puteți șterge pe primul. Rețineți că puteți face acest lucru numai dacă sunteți administrator.

12. Schimbați prefixul implicit al bazei de date

În mod implicit, WordPress folosește prefixul wp_ pentru bazele de date ale site-urilor. Acest lucru face relativ ușor să ghiciți numele bazei de date, care, la rândul său, poate ajuta atacatorii să se conecteze la ea.

Puteți reduce riscul ca instrumentele automate de injecție SQL să identifice baza de date prin schimbarea acelui prefix. În mod ideal, veți face acest lucru în timpul procesului de configurare. Expertul de configurare WordPress vă va întreba ce prefix al bazei de date să utilizați înainte de a vă configura site-ul web.

Dacă site-ul dvs. este deja activ, va trebui să modificați fișierul wp-config.php pentru a schimba prefixul bazei de date. Conectați-vă la site-ul web folosind protocolul de transfer de fișiere (FTP) și căutați fișierul wp-config.php în directorul rădăcină WordPress.

Editați fișierul și căutați linia care spune $table_prefix = 'wp_';. Continuați și înlocuiți valoarea wp_ cu prefixul pe care doriți să îl utilizați. Clientul dvs. FTP ar trebui să încarce modificările atunci când salvați și închideți fișierul.

Acum, accesați baza de date folosind phpMyAdmin. Selectați baza de date și utilizați SQL din partea de sus a ecranului pentru a rula următoarea interogare pentru fiecare tabel din baza de date:

RENUMIRE tabelul wp_xxxx TO otherprefix_xxxx;

Iată cum ar trebui să arate acea interogare în viața reală:

Selectați baza de date și utilizați fila SQL din partea de sus a ecranului pentru a rula următoarea interogare pentru fiecare tabel din baza de date: RENAME table wp_xxxx TO otherprefix_xxxx;

Acesta este un proces extrem de sensibil, așa că ar trebui să vă asigurați că aveți o copie de rezervă completă a site-ului (inclusiv baza de date) înainte de a încerca să schimbați prefixele.

Odată ce procesul este încheiat, asigurați-vă că site-ul dvs. funcționează bine. Dacă întâmpinați erori, este posibil să fi uitat să redenumiți unul dintre tabelele bazei de date sau să fi executat o interogare greșită.

Vă păzim site-ul. Îți conduci afacerea.

Jetpack Security oferă securitate cuprinzătoare și ușor de utilizat pentru site-ul WordPress, inclusiv copii de rezervă în timp real, un firewall pentru aplicații web, scanare malware și protecție împotriva spamului.

Asigurați-vă site-ul

13. Ascundeți /wp-admin și /wp-login.php

Probabil că recunoașteți ambele aceste sufixe URL. Sunt obișnuiți să se autentifice în WordPress și să acceseze tabloul de bord. Sunt ușor de reținut, dar acest lucru poate facilita accesarea site-ului dvs. web pentru hackeri.

Din punct de vedere al securității, este mai logic să folosiți un sufix diferit pentru ambele adrese URL. Pentru a începe, puteți consulta acest tutorial despre cum să schimbați adresa URL de conectare WordPress. Aceasta include instrucțiuni pentru a schimba wp-login și wp-admin.php atât manual, cât și folosind pluginuri.

14. Instalați un certificat SSL pentru criptarea datelor

În zilele noastre, nu există niciun motiv pentru ca site-urile web să nu folosească certificate SSL (secure sockets layer). Aceste certificate validează legitimitatea site-ului dvs. și vă permit să utilizați protocolul HTTPS pentru a trimite și primi date criptate.

Unele browsere vor avertiza utilizatorii dacă conexiunea lor la un site nu este sigură sau dacă are un certificat SSL invalid sau expirat.

Unele browsere vor avertiza utilizatorii dacă conexiunea lor la un site nu este sigură sau dacă are un certificat SSL invalid sau expirat.

Puteți urma acest ghid pentru a obține un certificat SSL gratuit pentru site-ul dvs. și pentru a-l instala. De asemenea, puteți utiliza una dintre gazdele web recomandate de Jetpack, toate oferind certificate SSL gratuite cu configurare automată.

15. Restricționați accesul FTP prin adresa IP

În mod implicit, oricine are acces la acreditările FTP ale site-ului dvs. se poate conecta la acesta utilizând acel protocol. Aceasta înseamnă că, în cazul în care atacatorii pun mâna pe acreditările dvs., ei pot modifica aproape orice aspect al site-ului dvs.

Unele gazde web vă oferă măsuri avansate de securitate FTP, cum ar fi limitarea accesului prin adresa IP. Acest lucru vă permite să alegeți ce adrese se pot conecta la site-ul dvs. prin FTP.

Doar administratorul și alți membri ai echipei care necesită acces prin FTP ar trebui să aibă permisiunile necesare. Acest lucru poate ajuta la minimizarea incidentelor de securitate și vă poate ajuta să identificați cine a făcut modificări la fișierele cheie dacă întâmpinați probleme cu WordPress.

În mod ideal, nu veți folosi FTP deloc și, în schimb, veți alege SFTP sau SSH pentru a vă accesa serverul.

Acest proces va varia în funcție de gazda dvs. web. Dacă nu sunteți sigur dacă furnizorul dvs. de găzduire vă permite să restricționați accesul FTP prin adresa IP, puteți verifica documentația acestuia.

16. Securizați permisiunile pentru fișiere și directoare

Sistemele bazate pe UNIX folosesc reguli de permisiuni bazate pe seturi de numere. Fișierele și directoarele individuale pot avea seturi diferite de permisiuni, care guvernează cine le poate accesa, edita și executa.

Puteți citi mai multe despre cum funcționează permisiunile UNIX în Manualul pentru dezvoltatori WordPress.

Deocamdată, este important să rețineți că există niveluri de permisiuni ideale pentru site-urile web WordPress și sistemele lor de fișiere.

Acestea sunt:

  • 644 sau 640 pentru fișiere. Primul set de numere oferă proprietarului acces complet de citire și scriere la fișier, iar alți utilizatori din grup vor avea doar acces de citire. Al doilea set de permisiuni nu oferă acces de citire utilizatorilor.
  • 755 sau 750 pentru directoare. Acest set de permisiuni funcționează în același mod ca ultimul exemplu, dar cu directoare. 755 oferă proprietarului acces complet de citire și scriere, alți membri ai grupului având acces de citire.

Puteți modifica permisiunile pentru fișiere pentru sistemul dvs. de fișiere WordPress folosind FTP. Pentru a face acest lucru, faceți clic dreapta pe un fișier sau director și selectați opțiunea de permisiuni pentru fișiere (aceasta poate varia în funcție de clientul FTP pe care îl utilizați).

Puteți modifica permisiunile pentru fișiere pentru sistemul dvs. de fișiere WordPress folosind FTP.

Unii clienți FTP vă vor permite să setați permisiunile pentru fișiere bifând anumite casete, precum și folosind sistemul numeric. Sunteți liber să alegeți opțiunea pe care o preferați.

17. Nu permiteți editarea fișierelor

WordPress include editori de fișiere pentru teme și pluginuri din cutie, deși unele gazde web le dezactivează implicit. Acestea sunt editoare de text simple pe care le puteți folosi din tabloul de bord pentru a face modificări codului pentru pluginuri și teme de pe site-ul dvs.

Activarea editării fișierelor din tabloul de bord prezintă un risc de securitate. Înseamnă că, dacă atacatorii obțin acces la tabloul de bord, pot modifica direct codul site-ului fără a avea nevoie de acreditări FTP sau de acces la panoul de găzduire.

Dacă gazda dvs. web vă permite să utilizați editarea fișierelor în WordPress, puteți dezactiva această opțiune manual modificând fișierul wp-config.php . Deschideți fișierul și adăugați următoarea linie de cod la sfârșit înainte de linia care scrie /* Asta e tot, opriți editarea! Blogging fericit. */ :

 define('DISALLOW_FILE_EDIT', true);

Asigurați-vă că valoarea este setată la „adevărat”, apoi salvați modificările în wp-config.php și închideți-l. Dacă verificați acum tabloul de bord, editorii de teme și pluginuri nu ar trebui să mai apară acolo.

18. Asigurați-vă fișierul wp-config.php

După cum ați văzut din acest ghid de întărire WordPress, fișierul wp-config.php este critic din punct de vedere al securității. Puteți modifica codul fișierului pentru a spori protecția site-ului dvs., așa că este esențial ca nimeni altcineva să nu aibă acces la el.

Am căutat deja o modalitate de a vă proteja fișierul wp-config.php de accesul neautorizat. În principal, implică limitarea cine se poate conecta la site-ul dvs. prin FTP. În mod ideal, veți avea doar una sau un număr limitat de adrese IP autorizate să se conecteze prin FTP pentru a reduce riscul.

A doua măsură de securitate pe care o puteți lua este să vă asigurați că există permisiuni adecvate pentru fișiere. În timp ce nivelurile de permisiuni recomandate pentru alte fișiere sunt fie 644, fie 640, fișierul wp-config.php ar trebui setat la 440 sau 400. Aceste niveluri de permisiune înseamnă că alți utilizatori, în afară de administrator, nici măcar nu vor putea obține acces de citire. la dosar.

Importanța backup-urilor pentru recuperarea în caz de dezastru

Automatizarea backup-urilor este probabil cea mai importantă măsură de securitate. Cu o copie de rezervă recentă în afara site-ului la îndemână, puteți oricând să vă restaurați site-ul dacă ceva nu merge bine.

Dacă utilizați VaultPress Backup, nu trebuie să vă faceți griji cu privire la crearea manuală a copiilor de rezervă. Puteți verifica backup-urile disponibile accesând Jetpack → VaultPress Backup și făcând clic pe Vedeți copiile de rezervă în butonul cloud .

Dacă utilizați VaultPress Backup, nu trebuie să vă faceți griji cu privire la crearea manuală a copiilor de rezervă.

Acest lucru vă va afișa toate copiile de rezervă disponibile și vă va oferi opțiunea de a restaura oricare dintre ele cu un singur clic. VaultPress Backup creează copii în timp real ale site-ului dvs. oricând îl modificați, astfel încât să aveți întotdeauna la dispoziție copii de rezervă recente.

Cum gestionează Jetpack Security copiile de rezervă pentru liniște sufletească

Să aruncăm o privire mai atentă asupra modului în care Jetpack Security gestionează backup-urile. Rețineți că următoarele caracteristici sunt disponibile numai cu planuri premium, cum ar fi Jetpack Security, Jetpack Complete sau VaultPress Backup.

1. Copii de rezervă în timp real

Cele mai multe soluții de backup fie vă cer să creați copii de rezervă manual, fie să le generați pentru dvs. conform unui program. De exemplu, este posibil să aveți opțiunea de a face copii de rezervă zilnice, săptămânale sau lunare.

Backup-urile zilnice sunt un început excelent, dar chiar și atunci, riscați să pierdeți date critice atunci când trebuie să vă restaurați site-ul web. Dacă ați făcut modificări site-ului după acea copie de rezervă zilnică și înainte de următoarea, va trebui să le reimplementați.

VaultPress Backup rezolvă această problemă prin crearea de copii ale site-ului dvs. în timp real. Ori de câte ori faceți modificări, pluginul va face copii de rezervă și veți avea disponibil un nou punct de restaurare. Aceasta înseamnă că nu riscați să pierdeți date.

2. Stocare offsite ultra-securizată

Stocarea poate fi o problemă cu majoritatea soluțiilor de rezervă. Puteți stoca copii ale site-ului dvs. pe serverul său, local sau chiar folosind stocarea în cloud. Soluțiile offsite sunt mai bune din punct de vedere al securității, deoarece dacă serverul se defectează, mai aveți acces la ele.

VaultPress Backup oferă propria sa soluție de stocare offsite. Nu trebuie să configurați pluginul pentru a funcționa cu furnizorii de stocare în cloud, deoarece obțineți acces la stocarea Jetpack.

Pluginul va stoca automat ultimele 30 de zile de backup în afara site-ului. În orice moment, puteți selecta una dintre aceste copii de rezervă și o puteți restaura.

3. Restabilește cu un singur clic

VaultPress Backup facilitează restaurarea site-ului dvs. web. Tot ce trebuie să faceți este să selectați backup-ul pe care doriți să îl restaurați și să confirmați alegerea dvs., iar pluginul se va ocupa de restul.

Când accesați din nou site-ul dvs. web, veți vedea versiunea pe care ați restaurat-o folosind VaultPress Backup. Din acel moment, puteți continua să faceți modificări site-ului.

Întrebări frecvente

Dacă mai aveți întrebări despre cum să vă protejați site-ul WordPress sau VaultPress Backup, această secțiune vă va răspunde.

Ce este întărirea WordPress și de ce este importantă?

Hardening WordPress se referă la procesul de creștere a securității site-ului dvs. Acest lucru îngreunează accesul atacatorilor pe site-ul web.

Care sunt cele mai frecvente amenințări la adresa site-urilor WordPress?

Majoritatea vulnerabilităților WordPress provin de la pluginuri, teme și nucleul WordPress învechite. Este mai probabil ca software-ul învechit să aibă vulnerabilități pe care atacatorii le pot exploata pentru a accesa sau pentru a obține controlul asupra site-ului dvs. web.

Cum îmi pot monitoriza site-ul WordPress pentru vulnerabilități de securitate?

Cel mai simplu mod de a vă monitoriza site-ul pentru vulnerabilități este să utilizați un scanner de securitate. Jetpack Security folosește WPScan pentru a vă revizui site-ul web pentru vulnerabilități cunoscute din WordPress.

Mai mult, Jetpack vă poate ajuta să remediați orice probleme de securitate pe care pluginul le găsește în timpul scanărilor.

Ce ar trebui să caut într-un plugin de securitate WordPress?

Cele mai bune pluginuri de securitate WordPress oferă o colecție de caracteristici care vă vor ajuta să vă protejați site-ul web, minimizând în același timp nevoia de alte instrumente terțe. Puteți utiliza Jetpack cu planul de securitate Jetpack pentru a obține acces la funcții precum backup în timp real, un WAF, protecție împotriva spamului, implementare 2FA și multe altele.

Câte site-uri au încredere în Jetpack pentru securitatea site-ului lor?

Jetpack este unul dintre cele mai populare pluginuri WordPress de pe piață datorită bogăției sale de caracteristici de optimizare a securității și performanței. Peste cinci milioane de site-uri web folosesc Jetpack, deci este o alegere excelentă atât pentru utilizatorii WordPress noi, cât și pentru cei experimentați.

Jetpack Security poate ajuta și cu comentariile spam și trimiterile de formulare?

Jetpack Security include funcții de protecție împotriva spamului care blochează sau filtrează automat comentariile spam pe baza unor algoritmi și date avansate. De asemenea, puteți examina comentariile semnalate pentru a vă asigura că nu există rezultate false pozitive.

Unde pot afla mai multe despre Jetpack Security?

Dacă doriți să aflați mai multe despre Jetpack Security, puteți vizita pagina de pornire a planului. Acolo puteți găsi informații suplimentare despre caracteristicile sale și vă puteți înscrie pentru un plan.

Protejați-vă site-ul web folosind Jetpack Security

Există o mulțime de moduri de a vă consolida site-ul WordPress. Unele dintre acestea implică implementarea măsurilor de securitate, cum ar fi schimbarea adreselor URL implicite de conectare și tablou de bord, securizarea fișierului wp-config.php și multe altele. În majoritatea cazurilor, însă, cel mai impactant lucru pe care îl puteți face pentru a vă proteja site-ul este să utilizați un plugin de securitate all-in-one.

Securitatea Jetpack este o soluție puternică. Vă permite să vă protejați pagina de conectare și să apărați site -ul împotriva atacurilor DDoS. De asemenea, oferă backup-uri în timp real, protecție împotriva spamului și multe altele.

Dacă nu sunteți sigur de unde să începeți când vine vorba de întărirea WordPress, consultați Jetpack Security. Vă puteți înscrie la un plan și puteți începe să vă protejați site -ul web imediat!