Securitate și consolidare WordPress, ghidul definitiv
Publicat: 2021-01-26WordPress este foarte popular. Aproximativ fiecare din cinci site-uri de pe Internet utilizează WordPress într-o anumită formă. Fie asta pentru a rula un blog umil, sau un sistem de management al conținutului (CMS) cu mai multe site-uri sau un site de comerț electronic. Ca rezultat, nu este surprinzător faptul că site-urile web WordPress sunt o țintă foarte populară atât pentru hackeri experimentați, cât și pentru cei care fac scripturi.
Ultimul lucru pe care și-l dorește orice webmaster este să afle că site-ul lor a fost piratat; poate luat ostatic și face parte dintr-o rețea bot, răspândind programe malware sau participând la atacuri Denial of Service (DoS). În acest articol, vom împărtăși o serie de sfaturi și strategii pentru a vă ajuta să vă consolidați site-ul WordPress.
Cuprins
- Este WordPress sigur?
- Pluginuri și teme
- Rulați mai puțin software
- Respectați principiul cel mai puțin privilegiat
- Actualizați-vă pluginurile și temele WordPress
- Stai departe de pluginurile și temele WordPress „nulate”.
- Ține WordPress la zi
- Găzduire WordPress
- Tabloul de bord WordPress
- Dezactivați înregistrarea
- Acreditări
- Autentificare în doi factori (2FA)
- Întărirea miezului WordPress
- Dezactivați jurnalul de depanare
- Dezactivați XML-RPC
- Restricționați API-ul REST WordPress
- Preveniți divulgarea versiunii WordPress
- Preveniți enumerarea utilizatorilor WordPress
- Dezactivează editorul de fișiere WordPress
- Dezactivați gestionarea temelor și a pluginurilor
- TLS (SSL)
- Concluzii și pași următori
Este WordPress sigur?
Aceasta este o întrebare pe care și-o pun mulți administratori de sistem și pe bună dreptate. În timp ce WordPress este în general bine construit și sigur, are reputația de a fi predispus la vulnerabilități de securitate și de a nu fi „de calitate pentru întreprindere”. Acea reputație nu este tocmai corectă. De cele mai multe ori, problemele constă în faptul că WordPress este un pachet software incredibil de popular, care este ușor de configurat în timp ce luați comenzi rapide de securitate. Ceea ce ne duce la primul nostru subiect — pluginuri și teme.
Pluginuri și teme
Problema numărul unu care afectează securitatea WordPress este, de asemenea, ceea ce îl face incredibil de popular. Pluginurile și temele WordPress variază mult în ceea ce privește calitatea și siguranța. Deși echipa WordPress a depus multă muncă pentru a ajuta dezvoltatorii să creeze plugin-uri și teme mai sigure, acestea rămân totuși un coșmar de securitate. Acest lucru poate fi observat atunci când utilizați pluginuri prost întreținute sau pluginuri obținute dintr-o sursă neînțeleasă.
Înainte de a continua să discutăm despre pluginurile și temele WordPress, să înțelegem mai întâi ce este de fapt un plugin WordPress. Pluginurile sunt pur și simplu cod PHP personalizat pe care WordPress îl rulează pentru a extinde funcționalitatea WordPress. Pentru o explicație mai detaliată și tehnică, consultați Ce sunt pluginurile WordPress.
În mod similar, temele WordPress permit personalizarea aspectelor vizuale ale site-ului dvs. WordPress. Din perspectiva unui atacator, există foarte puțină diferență între cele două, deoarece ambele pot fi abuzate pentru a rula cod rău intenționat.
Rulați mai puțin software
Deci, cum puteți spune dacă un plugin este rău intenționat sau nu? Aceasta este o întrebare complicată, dar din fericire avem un răspuns pentru tine. Am scris despre asta în detaliu cum să alegeți cel mai bun plugin WordPress pentru site-ul dvs. WordPress.
Chiar dacă faceți toate cercetările necesare, există și șanse ca pluginul să fie în continuare o amenințare pentru securitate. Deci, una dintre modalitățile de a vă reduce riscul este să rulați doar software-ul de care aveți absolut nevoie și de care aveți încredere. Înainte de a instala un nou plugin WordPress, întrebați-vă dacă într-adevăr trebuie să instalați acel plugin. Poate un mic fragment de cod dintr-un plugin specific site-ului să facă treaba sau aveți nevoie în mod legitim de un plugin complet?
Important — fiți foarte vigilenți cu fragmentele de cod pe care le găsiți pe Internet. Nu utilizați niciodată o bucată de cod decât dacă înțelegeți pe deplin ce face - doar pentru că este pe StackOverflow, nu înseamnă că este sigur de utilizat.
Dacă aveți o nevoie reală de a rula un plugin, asigurați-vă că acesta este întreținut activ și actualizat în mod regulat, așa cum explicăm în ghidul nostru. Ca regulă generală, cu cât pluginul sau tema are mai multe descărcări și actualizări recente indică faptul că este utilizat pe scară largă și că este întreținut activ de către autorii săi. Acest lucru nu înseamnă că pluginul nu va avea niciodată o vulnerabilitate. Cu toate acestea, dacă se găsește o vulnerabilitate, dezvoltatorul va acționa rapid și va emite rapid o remediere.
Încercați să evitați pluginurile care nu au multe descărcări și, în mod critic, nu au o comunitate activă și actualizări regulate. Dacă ceva nu a primit o actualizare în decurs de un an, este în general un semnal roșu.
Respectați principiul cel mai puțin privilegiat
WordPress nu trebuie să folosească utilizatorul rădăcină MySQL pentru a se conecta la baza sa de date. Nici fiecare utilizator WordPress nu trebuie să aibă rolul de administrator. În mod similar, nu este o idee bună să rulați majoritatea programelor ca utilizator privilegiat, cu excepția cazului în care există un motiv anume pentru a face acest lucru.
Cele mai bune practici de securitate impun întotdeauna ca aplicațiilor să li se acorde întotdeauna cele mai puține privilegii posibile care să le permită să funcționeze corect, cu orice privilegii suplimentare dezactivate. Această practică este denumită în mod obișnuit principiul cel mai mic privilegiu.
Să presupunem ipotetic că WordPress se conectează la o bază de date cu un cont de utilizator privilegiat. În cazul unui plugin WordPress care conține o vulnerabilitate de injectare SQL, un atacator poate nu numai să ruleze interogări SQL ca administrator, dar în unele cazuri poate chiar să execute comenzi ale sistemului de operare. Dacă un atacator reușește să execute comenzile sistemului de operare, acesta poate fi capabil să efectueze recunoaștere și să escaladeze un atac mai departe către alte sisteme.
Rularea de software cu privilegii administrative sau oferirea utilizatorilor cu mai mult acces decât este necesar înseamnă probleme. Contravine unui principiu testat și testat al celui mai mic privilegiu, deoarece permite unui atacator să provoace mai multe daune în cazul unei breșe de securitate.
Lucrul bun cu WordPress este că are o serie de roluri încorporate, pe care le puteți utiliza pentru a atribui diferite privilegii diferiților utilizatori, în funcție de cerințele acestora. Am scris pe larg despre acest lucru în modul de utilizare a rolurilor de utilizator WordPress pentru o securitate îmbunătățită WordPress.
Actualizați-vă pluginurile și temele WordPress
Actualizările de pluginuri și teme WordPress sunt importante nu doar pentru a beneficia de noi funcționalități și remedieri de erori, ci și pentru a corecta vulnerabilitățile de securitate. Atât pluginurile, cât și temele sunt ușor de actualizat în interfața WordPress.
Unele plugin-uri comerciale vor avea probabil propriile lor mecanisme pentru a menține pluginurile la zi, cu toate acestea, în majoritatea cazurilor, acest lucru este transparent pentru utilizatori. Cu toate acestea, asigurați-vă că, indiferent de sistemul de actualizare utilizat, vă mențineți pluginurile și temele actualizate.
Nu utilizați pluginuri și teme WordPress „nulate”.
WordPress folosește GPL 1 . Fără a intra în multe detalii, licența GPL permite oricui să distribuie liber software cu licență GPL. Aceasta include teme și pluginuri WordPress comerciale/premium cu licență GPL. Ca atare, este posibil să nu fie ilegal să descărcați o temă sau un plugin premium modificată, denumită de obicei nulled și să o folosiți gratuit.
Cu toate acestea, după cum probabil ați ghicit deja, în afară de faptul că nu susțineți dezvoltatorul de plugin, este foarte puțin probabil să primiți actualizări pentru pluginurile anulate. În plus, nu ai de unde să știi dacă sursa acestui plugin a fost modificată pentru a face ceva nefast.
Ține WordPress la zi
Așa cum ar trebui să vă mențineți pluginurile și temele actualizate, ar trebui să vă asigurați că trebuie să păstrați actualizată versiunea de WordPress pe care o utilizați. Din fericire, acest lucru este acum mult mai ușor decât a fost în trecut, cu actualizări critice de securitate care au loc automat. Desigur, dacă nu dezactivați în mod explicit această funcționalitate.
Pe lângă noi funcții, îmbunătățiri și remedieri de erori, actualizările de bază ale WordPress conțin și remedieri de securitate care vă pot proteja de atacatorii care exploatează site-ul dvs. WordPress și îl folosesc pentru câștiguri necuvenite.
Găzduire WordPress
Unde și cum alegeți să vă găzduiți site-ul WordPress va depinde în mare măsură de cerințele dvs. Deși nu este nimic în neregulă cu găzduirea și gestionarea personală a WordPress, dacă fie nu sunteți la fel de priceput din punct de vedere tehnic, fie doriți să vă asigurați că îndepliniți majoritatea elementelor de bază ale securității WordPress fără a face o mulțime de sarcini grele, poate doriți să optați pentru un furnizor de găzduire WordPress gestionat, cum ar fi Kinsta sau WP Engine.
Deoarece am avut site-uri web găzduite cu ambele gazde, am scris despre ele. În poveștile clienților noștri subliniem experiența noastră cu aceștia. Pentru a afla mai multe despre experiența dvs., citiți povestea noastră WP Engine și a clienților Kinsta. Găzduirea WordPress gestionată retrage o mulțime de decizii de securitate și configurații de care aveți nevoie pentru a vă face griji pentru dvs.
Desigur, găzduirea WordPress gestionată poate să nu fie pentru tine. Puteți opta să găzduiți singur WordPress, mai ales dacă aveți un buget limitat. Self hosting WordPress vă oferă, de asemenea, un control mai mare asupra instalării WordPress. Pentru a afla mai multe despre toate opțiunile de găzduire WordPress diferite și despre ce funcționează cel mai bine pentru dvs., consultați ghidul pentru alegerea găzduirii WordPress.
Tabloul de bord WordPress
Tabloul de bord WordPress al site-ului dvs. este un loc în care nu doriți să pândească nimeni neautorizat. Deși există unele site-uri care au motive legitime pentru a permite utilizatorilor publici să se autentifice folosind tabloul de bord WordPress, acesta este un risc uriaș de securitate și trebuie luat în considerare cu mare atenție.
Din fericire, majoritatea site-urilor web WordPress nu au această cerință și, ca atare, ar trebui să împiedice accesul la tabloul de bord WordPress. Există mai multe moduri de a face acest lucru și ar trebui să alegeți ceea ce funcționează cel mai bine pentru dvs.
O practică obișnuită este restricționarea accesului prin protecția cu parolă a paginilor WordPress Admin (wp-admin). O altă soluție ar fi să permiteți accesul la /wp-admin doar la un număr de adrese IP selectate.
Dezactivați înregistrarea
În mod implicit, WordPress nu permite utilizatorilor publici să se înregistreze pe site-ul dvs. WordPress. Pentru a confirma că înregistrarea utilizatorului este dezactivată:
- mergeți la Setări > Pagina General din zona tabloului de bord WordPress
- navigați la secțiunea Membri
- asigurați-vă că caseta de selectare de lângă Oricine se poate înregistra nu este bifată.
Acreditări
Ca orice alt site web, accesul la tabloul de bord WordPress este la fel de puternic pe cât sunt acreditările dvs. Implementarea securității puternice a parolelor WordPress este controlul de securitate esențial al oricărui sistem, iar WordPress nu face excepție.
În timp ce WordPress nu are nicio modalitate de a seta o politică de parole din cutie, un plugin precum WPassword este absolut esențial pentru a aplica cerințele de putere a parolei tuturor utilizatorilor tăi care au acces la tabloul de bord WordPress.
Odată ce aplicați securitatea puternică a parolei pe site-ul dvs., utilizați WPScan pentru a testa acreditările WordPress slabe, pentru a vă asigura că niciun cont nu folosește în continuare parole slabe.
Autentificare în doi factori (2FA)
Un alt control de securitate esențial pentru tabloul de bord WordPress este să solicitați autentificarea cu doi factori. Autentificarea cu doi factori (2FA) face mult mai dificil pentru un atacator să obțină acces la tabloul de bord WordPress în cazul în care un atacator reușește să descopere parola unui utilizator (de exemplu, un atacator poate descoperi parola unui utilizator dintr-o încălcare a datelor).
Din fericire, este foarte ușor să configurați autentificarea cu doi factori pe WordPress. Există o serie de pluginuri de înaltă calitate pe care le puteți folosi pentru a adăuga această funcționalitate. Citiți cele mai bune plugin-uri de autentificare cu doi factori pentru WordPress pentru o evidențiere a celor mai bune plugin-uri 2FA disponibile pentru WordPress.
Întărirea miezului WordPress
Chiar dacă nucleul WordPress este o bucată de software sigură, asta nu înseamnă că nu îl putem întări în continuare. Următoarele sunt o serie de strategii de întărire specifice nucleului WordPress.
Asigurați-vă că înregistrarea de depanare este dezactivată
WordPress permite dezvoltatorilor să înregistreze mesajele de depanare într-un fișier (acesta fiind /wp-content/debug.log în mod implicit). Deși acest lucru este perfect acceptabil într-un mediu de dezvoltare, rețineți că acest fișier poate fi accesat cu ușurință de către un atacator dacă același fișier și/sau setări ajung în producție.
Depanarea WordPress este dezactivată implicit. Deși este întotdeauna mai bine să verificați dacă este - asigurați-vă că nu aveți constanta WP_DEBUG definită în fișierul dvs. wp-config.php sau setați-o în mod explicit la false. Consultați ghidul de depanare WordPress pentru o listă cu toate opțiunile de depanare.
Dacă dintr-un motiv oarecare aveți nevoie de jurnalele de depanare WordPress pe site-ul dvs. de viață, conectați-vă la un fișier din afara rădăcinii serverului dvs. web (de exemplu, /var/log/wordpress/debug.log). Pentru a schimba pa
define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');
Dezactivați XML-RPC
Specificația XML-RPC a WordPress a fost concepută pentru a permite comunicarea între diferite sisteme. Aceasta înseamnă că aproape orice aplicație ar putea interacționa cu WordPress. Specificația WordPress XML-RPC a fost importantă din punct de vedere istoric pentru WordPress. Îi permite să interacționeze și să se integreze cu alte sisteme și software.
Lucrul bun este că XML-RPC a fost înlocuit de API-ul REST WordPress. Pentru a evidenția unele dintre preocupările de securitate din jurul XML-RPC; interfața sa a fost sursa a numeroase vulnerabilități de securitate de-a lungul anilor. De asemenea, poate fi folosit de atacatori pentru enumerarea numelor de utilizator, forțarea brută a parolei. sau atacuri de denial of service (DoS) prin pingback-uri XML-RPC.
Prin urmare, dacă nu utilizați în mod activ XML-RPC și nu aveți controale de securitate adecvate, ar trebui să îl dezactivați. Deoarece acesta este ceva ușor de realizat fără a instala un plugin terță parte, vom discuta mai jos cum să faceți acest lucru.
Deși vă puteți configura pur și simplu serverul web pentru a bloca accesul la /xmlrpc.php, o metodă preferată de a face acest lucru este dezactivarea explicit XML-RPC folosind un filtru WordPress încorporat. Pur și simplu adăugați următoarele la un fișier plugin și activați-l pe site-ul dvs.
add_filter('xmlrpc_enabled', '__return_false');
Atenție
- Este o idee bună să utilizați un plugin WordPress care trebuie să folosească pentru acest și alte fragmente de cod similare.
Restricționați API-ul REST WordPress
În același sens cu XML-RPC, API-ul WordPress este modalitatea modernă prin care aplicațiile terțe pot comunica cu WordPress. Deși este sigur de utilizat, este recomandabil să restricționați unele funcții din cadrul acestuia pentru a preveni enumerarea utilizatorilor și alte vulnerabilități potențiale. Spre deosebire de XML-RPC, WordPress nu oferă o modalitate simplă, nativă de a dezactiva complet API-ul REST (obișnuia să 2 , dar acest lucru a fost depreciat, așa că este înțelept să nu mai faceți acest lucru), cu toate acestea, îl puteți restricționa.
Așa cum este obișnuit cu WordPress, puteți fie să utilizați un plugin pentru a realiza acest lucru, fie să adăugați următorul filtru la un fișier de plugin și să-l activați pe site-ul dvs. Următorul cod va dezactiva API-ul REST WordPress pentru oricine nu este autentificat, returnând un cod de stare HTTP neautorizat (codul de stare 401) folosind cârligul WordPress rest_authentication_errors.
add_filter( 'rest_authentication_errors', function( $result ) { if ( ! empty( $result ) ) { return $result; } if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) ); } return $result; });
În plus, API-ul REST WordPress activează JSONP în mod implicit. JSONP este o tehnică veche de ocolire a aceleiași politici de origine a browserului înainte ca browserele moderne să accepte CORS (Partajare de resurse între origini). Deoarece acest lucru ar putea fi utilizat ca pas într-un atac de către un atacator, nu există un motiv real pentru activarea acestui lucru. Se recomandă să-l dezactivați folosind filtrul WordPress rest_jsonp_enabled folosind următorul fragment PHP.
add_filter('rest_enabled', '__return_false');
Consultați documentația filtrului pentru mai multe informații despre acesta.
Preveniți divulgarea versiunii WordPress
La fel ca multe alte aplicații web, în mod implicit, WordPress își dezvăluie versiunea în mai multe locuri. Dezvăluirea versiunii nu este tocmai o vulnerabilitate de securitate, totuși aceste informații sunt foarte utile pentru un atacator atunci când planifică un atac. Ca rezultat, dezactivarea caracteristicilor de dezvăluire a versiunii WordPress poate face un atac puțin mai dificil.
WordPress scurge o mulțime de informații despre versiune. Din fericire, această idee GitHub oferă o listă cuprinzătoare de filtre WordPress de dezactivat sub forma unui plugin WordPress. Bineînțeles că puteți încorpora acest cod în orice plugin-uri existente specifice site-ului sau care trebuie utilizate deja pe care le aveți.
Preveniți enumerarea utilizatorilor WordPress
WordPress este vulnerabil la o serie de atacuri de enumerare a utilizatorilor. Astfel de atacuri permit unui atacator să descopere ce utilizatori există, indiferent dacă un utilizator există sau nu. Deși acest lucru poate părea inofensiv, rețineți că atacatorii pot folosi aceste informații ca parte a unui atac mai mare. Pentru mai multe informații despre acest subiect, citiți cum să enumerați utilizatorii WordPress cu WPScan.
Pentru a preveni enumerarea utilizatorilor WordPress, va trebui să vă asigurați că următoarele funcții WordPress sunt dezactivate sau restricționate.
- Limitați API-ul REST WordPress la utilizatorii neautentificați
- Dezactivați WordPress XML-RPC
- Nu expuneți /wp-admin și /wp-login.php direct pe internetul public
În plus, va trebui, de asemenea, să configurați serverul dvs. web pentru a împiedica accesul la /?author=<number>. Dacă utilizați Nginx, puteți utiliza următoarea configurație pentru a preveni enumerarea utilizatorilor WordPress.
RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule .* - [R=403,L]
În mod alternativ, dacă utilizați Apache HTTP Server, puteți utiliza următoarea configurație pentru a preveni enumerarea utilizatorilor WordPress.
if ( $query_string ~ "author=([0-9]*)" ) { return 403; }
Dezactivează editorul de fișiere WordPress
Una dintre cele mai periculoase caracteristici ale WordPress este abilitatea de a edita fișiere din tabloul de bord WordPress în sine. Nu ar trebui să existe niciun motiv legitim pentru care orice utilizator ar trebui să facă acest lucru și, cu siguranță, nu pentru WordPress. În orice caz, doriți să vă asigurați că știți exact ce fișiere s-au schimbat folosind un plugin de securitate de înaltă calitate pentru monitorizarea integrității fișierelor (FIM).
Pentru a fi alertat cu privire la modificările fișierelor, utilizați pluginul Website File Changes Monitor, pe care îl dezvoltăm.
Orice modificare a fișierelor pe site-ul dvs. ar trebui să aibă loc fie printr-o conexiune securizată (de exemplu, SFTP), fie, de preferință, urmărită într-un depozit de control al versiunilor și implementată folosind CI/CD.
Pentru a dezactiva pluginurile și editorul de fișiere de teme din tabloul de bord WordPress, pur și simplu adăugați următoarele în fișierul wp-config.php.
define('DISALLOW_FILE_EDIT', true );
Dezactivați gestionarea temelor și a pluginurilor
O bună practică de securitate WordPress este să dezactivați gestionarea pluginurilor și a temelor din tabloul de bord WordPress. În schimb, utilizați instrumente de linie de comandă, cum ar fi wp-cli, pentru a face aceste modificări.
Prin dezactivarea modificărilor temei și pluginurilor, reduceți drastic suprafața de atac a site-ului dvs. WordPress. În acest caz, chiar dacă un atacator încalcă cu succes un cont de administrator, nu ar putea încărca un plugin rău intenționat pentru a escalada atacul dincolo de accesul la tabloul de bord WordPress.
Constanta DISALLOW_FILE_MODS definită în wp-config.php dezactivează actualizările și instalarea pluginurilor și temelor prin tabloul de bord. De asemenea, dezactivează toate modificările fișierelor din tabloul de bord, eliminând astfel Editorul de teme și Editorul de pluginuri.
Pentru a dezactiva tema și modificările pluginului în tabloul de bord WordPress, adăugați următoarele în fișierul dvs. wp-config.php.
define('DISALLOW_FILE_MODS', true );
WordPress HTTPS (SSL/TLS)
Transport Layer Security (TLS) este un element absolut esențial pentru securitatea dvs. WordPress, este gratuit și ușor de configurat. Notă: TLS este protocolul care a înlocuit Secure Socket Layer, SSL. Cu toate acestea, deoarece termenul SSL este foarte popular, mulți încă se referă la TLS ca SSL.
Când vă vizitați site-ul web prin HTTPS (HTTP peste TLS), solicitările și răspunsurile HTTP nu pot fi interceptate și iscusite sau, mai rău, modificate de către un atacator.
În timp ce TLS are mai mult de-a face cu serverul dvs. web sau cu Rețeaua de livrare a conținutului (CDN) decât cu instalarea dvs. WordPress, unul dintre cele mai importante aspecte ale TLS (WordPress HTTPS) este aplicarea acestuia. Există o mulțime de informații online despre cum să configurați WordPress HTTPS (SSL și TLS).
Dacă nu vă simțiți confortabil să editați fișierele de configurare și preferați să treceți la WordPress HTTPS folosind un plugin, puteți utiliza Really Simple SSL sau WP force SSL. Ambele sunt plugin-uri foarte bune și ușor de utilizat.
Următorii pași pentru un WordPress și mai sigur
Dacă ai ajuns până aici, grozav, dar asta nu înseamnă că nu mai este încă de făcut. Următoarele sunt o serie de elemente pe care le puteți analiza pentru a vă consolida și mai mult site-ul WordPress.
- Întăriți PHP. Având în vedere că PHP este o componentă de bază a oricărui site web WordPress, consolidarea PHP este unul dintre următorii pași logici. Am scris pe larg despre acest lucru în Cea mai bună configurare de securitate PHP pentru site-urile WordPress.
- Utilizați pluginuri de securitate reputate. Pluginurile de securitate de calitate oferă caracteristici avansate de securitate care nu sunt incluse în WordPress în mod nativ. Există o cantitate mare de pluginuri de securitate WordPress acolo. Cu toate acestea, asigurați-vă că alegeți pluginuri cu o bună reputație și, în mod ideal, cele pentru care este disponibil suport premium sau comercial, cum ar fi pluginurile noastre de securitate de înaltă calitate pentru WordPress.
- Efectuați un audit al permisiunilor fișierelor. Pentru site-urile WordPress care rulează pe Linux, permisiunile incorecte pentru fișiere pot permite utilizatorilor neautorizați să obțină acces la fișiere potențial sensibile. Pentru mai multe informații despre acest subiect, consultați ghidul nostru pentru configurarea permisiunilor securizate pentru site-ul WordPress și serverul web.
- Efectuați un audit al fișierului de rezervă. Fișierele de rezervă lăsate accidental accesibile pot scurge informații sensibile. Aceasta include configurația care conține secrete care pot permite atacatorilor să obțină controlul asupra întregii instalări WordPress.
- Întărește-ți serverul web
- Întăriți MySQL
- Adăugați anteturile de securitate HTTP necesare
- Asigurați-vă că aveți un sistem de backup WordPress funcțional.
- Utilizați un serviciu de protecție DDoS
- Implementați o politică de securitate a conținutului
- Gestionați copiile de rezervă expuse și fișierele fără referință.
Concluzie – acesta este doar primul pas al călătoriei de securitate WordPress
Felicitări! Dacă ați urmat toate sfaturile de mai sus și ați implementat toate cele mai bune practici de securitate recomandate, site-ul dvs. WordPress este sigur. Cu toate acestea, securitatea WordPress nu este o soluție unică – este un proces în continuă evoluție. Există o mare diferență între consolidarea unui site web WordPress (stare unică) și menținerea lui în siguranță ani de zile.
Întărirea este doar una dintre cele patru etape ale procesului de securitate WordPress (roata de securitate WordPress). Pentru un site WordPress securizat pe tot parcursul anului, trebuie să urmați procesul iterativ de securitate WordPress de testare > întărire > monitorizare > îmbunătățire. Trebuie să testați și să verificați continuu starea de securitate a site-ului dvs. WordPress, să întăriți software-ul, să monitorizați sistemul și să vă îmbunătățiți configurarea pe baza a ceea ce vedeți și învățați. De exemplu:
- un instrument precum WPScan vă poate ajuta să testați postura de securitate a site-ului dvs. WordPress
- un firewall WordPress vă poate proteja site-ul dvs. WordPress de atacuri rău intenționate cunoscute
- un jurnal de activitate WordPress vă poate ajuta să mergeți mult – păstrând o evidență a tuturor modificărilor care au loc pe site-ul dvs., puteți îmbunătăți responsabilitatea utilizatorului, puteți ști ce face fiecare utilizator și, de asemenea, puteți urmări toate activitățile sub capotă.
- instrumente precum pluginurile noastre de securitate și management WordPress vă pot ajuta să asigurați securitatea parolelor, să întăriți procesul de securitate WordPress, să fiți alertat cu privire la modificările fișierelor și multe altele
Aveți toate instrumentele potrivite pentru a vă menține site-ul în siguranță. Chiar dacă conduceți un site web WordPress mic, acordați-vă timp pentru a lucra treptat prin acest ghid. Asigurați-vă că nu veți depune eforturi pentru a construi un site web grozav, doar pentru a-l jefui de un atac vizat de WordPress.
Nu există o securitate 100% eficientă. Cu toate acestea, îngreunați considerabil pentru un atacator să câștige un punct de sprijin și să atace cu succes site-ul dvs. WordPress prin aplicarea diferitelor tehnici de întărire prezentate în acest ghid. Amintiți-vă că, atunci când atacatorii își țintesc următoarea victimă, nu trebuie să-i depășiți. Trebuie doar să fii mai sigur decât următorul site vulnerabil!