Securitate WordPress: Ghidul suprem pentru a securiza un site WordPress

Criminalitatea cibernetică este la cote maxime, cu hackeri și programe malware care se răspândesc în vastul peisaj online. Google pune pe lista neagră peste 20.000 de site-uri web pentru malware și peste 50.000 de site-uri web ca site-uri web potențiale de phishing – în fiecare săptămână! Lăsați numerele să intre pentru o clipă. Prin urmare, în scopul acestei citiri, am creat un ghid cuprinzător pentru a vă ajuta să vă îmbunătățiți securitatea WordPress.

Vedeți, dacă site-ul dvs. web nu respectă cele mai bune practici de securitate, atunci veți lăsa site-ul și tot conținutul său să fie piratați. Dar nu doar conținutul tău este pe linie, deoarece site-urile web nesecurizate sunt, de asemenea, penalizate de algoritmii de căutare Google.

Hackerii și programele malware nu sunt doar periculoase pentru conținutul site-ului dvs., dar acestea reprezintă și o amenințare pentru persoanele care vă vizitează site-ul. Și, așadar, dacă nu reușiți să respectați regulile de bază de securitate – ceea ce apropo este foarte simplu de făcut – Google vă va retrograda pe SERP (Pagina de rezultate ale motorului de căutare).

Din fericire, utilizatorii WordPress au acces la pluginuri dedicate și la o interfață ultra-intuitivă care vă poate ajuta să vă sporiți securitatea WordPress cu o marjă semnificativă. Așadar, fără a vă face să așteptați mai mult, iată cele mai bune 10 moduri de a vă îmbunătăți securitatea WordPress:

Top 10+ moduri de a-ți îmbunătăți securitatea WordPress

1. Instalați pluginuri de rezervă

Conceptul aici este destul de simplu – este mai bine să fii în siguranță acum, decât să-mi pare rău mai târziu!

Prin copierea de rezervă a conținutului și bazei de date online, totul este păstrat în siguranță chiar și în cazul nefericit de a cădea pradă hackerilor și programelor malware. Acest lucru face ca instalarea unui plugin de rezervă să fie primul capitol WordPress security 101 și îl plasează în partea de sus a listei de priorități.

Un plugin de rezervă precum pluginul nostru WPvivid Backup poate face backup automat de rutină ale întregului site WordPress, inclusiv baza de date. Îl puteți configura pentru a programa backup-urile să fie fie săptămânale, fie zilnice. Datele pentru care faceți backup sunt stocate în general într-o platformă separată de stocare în cloud - fie furnizată de plugin-ul în sine, fie între diferitele platforme deja existente, cum ar fi Google Drive, Amazon S3, Dropbox și așa mai departe.

Acum, dacă mai târziu, site-ul dvs. se rupe din cauza programelor malware sau a hackerilor, toate datele dvs. vor fi în continuare accesibile și puteți restabili copiile de siguranță pe site-ul dvs. pentru a-l readuce la starea sa anterioară de funcționare. Nu uitați să acoperiți vulnerabilitățile de securitate pe care hackerii sau programele malware le-au folosit pentru a intra pe site-ul dvs. web, astfel încât să nu se repete.

Cu toate acestea fiind spuse, dacă sunteți în căutarea unor recomandări cu privire la pluginul de rezervă, în plus față de pluginul nostru de backup WPvivid, pentru a vă îmbunătăți securitatea WordPress, atunci iată câteva opțiuni:

• UpDraftPlus
• BackWPup

2. Instalați un plugin de firewall pentru a vă monitoriza site-ul WordPress

Similar cu software-ul firewall pe care l-ați configurat pe desktop/laptop, un plugin pentru firewall va monitoriza traficul de intrare și va bloca amenințările obișnuite de securitate să ajungă la site-ul dvs. WordPress.

Pluginurile se referă în general la o bază de date constând din semnături rău intenționate și adrese IP incluse pe lista neagră pentru a scana potențialele amenințări care vin pe site-ul dvs. și le blochează imediat.

După cum puteți vedea, este la fel de simplu ca și instalarea unui plugin WordPress, dar vă îmbunătățește securitatea WordPress, împiedicând accesul hackerilor, programelor malware, viermilor și virușilor pe site-ul dvs.

3. Setați o parolă puternică pentru autentificarea administratorului

Când te gândești la asta, obținerea accesului la tabloul de bord backend WordPress nu este atât de mare. Este cunoscut faptul că adăugarea „/wp-admin” la sfârșitul adresei URL a unui site WordPress duce utilizatorul la pagina de conectare a administratorului. Aici singurul lucru care limitează accesul la backend-ul site-ului web este pur și simplu să ghiciți numele de utilizator și parola.

Acum, deoarece numele de utilizator „admin” este aproape întotdeauna asociat cu un site web WordPress, singurul lucru pe care trebuie să-l facă hackerul este să ghicească parola și apoi va avea acces direct la tot conținutul și datele site-ului tău. Un lucru înfricoșător de imaginat, nu-i așa?

Având în vedere toate acestea, cea mai evidentă îmbunătățire a securității WordPress pe care o puteți folosi este să vă faceți parola extrem de complexă și greu de descifrat chiar și prin forță brută. Aceasta include crearea de parole mai lungi, cu cel puțin 10-12 caractere. De asemenea, nu uitați să utilizați litere mari, litere mici, cifre și caractere speciale în parola dvs.

Și ca să nu ajungi să uiți singur, notează-l undeva unde știi că va fi în siguranță.

4. Personalizați numele de utilizator admin

Similar cu schimbarea parolei autentificarii dvs. de administrator WordPress, ar trebui să luați în considerare și schimbarea numelui de utilizator implicit ușor de previzibil - admin. Deci, acum hackerul trebuie să descifreze parola împreună cu numele de utilizator corect pentru a intra în backend-ul site-ului dvs., ceea ce vă crește exponențial securitatea WordPress.

Dar acestea fiind spuse, schimbarea numelui de utilizator implicit admin este oarecum dificilă. În primul rând, trebuie să vă conectați la backend-ul WordPress > Utilizator > Adăugați un utilizator nou și apoi să creați un utilizator nou (cu noul nume de utilizator) cu Rolul de utilizator setat la – Administrator . După ce ați terminat, conectați-vă cu noul cont de utilizator și ștergeți contul de utilizator implicit „admin”, forțând hackerii să descifreze nu numai parola corectă, ci și noul nume de utilizator. Alternativ, puteți gestiona și edita rolurile utilizatorilor utilizând un plugin de editor de rol de utilizator.

5. Personalizați adresa URL de conectare

Până acum am vorbit despre cum să facem dificil pentru hackeri să ghicească acreditările dvs. de conectare la backend WordPress. Dar, o tactică de securitate WordPress și mai bună ar fi interzicerea accesului hackerilor la ecranul dvs. de conectare.

După cum am menționat mai devreme, adresa URL implicită pentru pagina de conectare backend a site-ului dvs. implică adresa URL a site-ului dvs. urmată de „/wp-admin”. Cu toate acestea, știați că puteți personaliza ultima parte a adresei URL de conectare a site-ului dvs. la orice șir alfanumeric diferit pe care vi-l puteți imagina, cum ar fi „/zero-hackers-allowed”.

Cu toate acestea, rețineți că aceasta nu este o caracteristică implicită a CMS (Sistemul de gestionare a conținutului) și va trebui să instalați un plugin WordPress, cum ar fi WPS Hide Login , pentru a vă ajuta. Odată instalat și activat, pluginul vă va permite să schimbați adresa URL de conectare, astfel încât hackerii să nu poată accesa cu ușurință pagina wp-login.php și directorul wp-admin.

Până acum, nu numai că le-am îngreunat hackerilor să ghicească combinația corectă de parolă și nume de utilizator pentru a accesa site-ul nostru, dar am ascuns efectiv pagina de conectare de privirile indiscrete. După cum vă puteți imagina, acest lucru vă crește drastic securitatea WordPress și face ca atacurile cu forță brută să fie practic imposibile.

6. Setați o parolă puternică pentru utilizatorul bazei de date

Dacă site-ul dvs. web are mai mulți utilizatori, unii dintre ei având acces direct la baza de date sau la alte informații sensibile, asigurați-vă că au stabilit parole puternice pentru conturile lor. Hackerii sunt la fel de probabil să încerce să intre pe site-ul dvs. prin exploatarea celorlalți utilizatori de pe site-ul dvs. Având în vedere acest lucru, orice capăt liber este o potențială vulnerabilitate și o amenințare de securitate.

Puteți face obligatoriu ca utilizatorii să atribuie o parolă puternică conturilor lor urmând pașii menționați mai devreme. Alternativ, puteți utiliza pluginuri terțe pentru a forța utilizatorii să creeze o parolă puternică pentru a-și finaliza procesul de creare a contului.

7. Activați SSL (HTTP la HTTPS)

SSL, prescurtare pentru Secure Sockets Layer este protocolul de securitate standard pe internet care creează o conexiune criptată între client și server. Odată activat, veți observa că textul HTTP de la începutul adresei URL este înlocuit cu HTTPS sau HTTP securizat. Prin activarea unui certificat SSL, le îngreunați hackerilor să sifoneze datele în timp ce acestea sunt transmise între server și client.

De asemenea, Google ia foarte în serios certificarea SSL. De exemplu, site-urile web care sunt încă pe HTTP sunt afișate ca „nesecurizate” în browserul Google Chrome. În plus, ei sunt, de asemenea, penalizați de algoritmul motorului lor de căutare. Pe de altă parte, HTTPS-urile site-urilor web certificate SSL sunt acordate de motorul de căutare. Prin urmare, am pus instalarea unui SSL ca prim pas pentru a se vedea un nou blog WordPress.

Aceste două puncte ar trebui să fie un motiv suficient pentru a instala un certificat SSL pe site-ul dvs. web – mai ales când considerați că nu este atât de mare o bătaie de cap. În primul rând, majoritatea serviciilor de găzduire web populare includ un certificat SSL gratuit. Și în cazul în care nu ați primit unul gratuit, puteți face acest lucru cu ușurință utilizând Let's Encrypt .

Aveți chiar și acces la un plugin WordPress SSL dedicat – Really Simple SSL pentru a transforma HTTP în HTTPS și pentru a vă îmbunătăți securitatea WordPress.

8. Mutați wp-config la un nivel mai înalt decât directorul rădăcină

În mod implicit, wp-config.php se află în același folder ca blogul/site-ul dvs. WordPress. Acesta poate fi un coșmar de securitate, deoarece fișierul conține numele de utilizator al bazei de date MySQL, parola, cheile de autentificare WordPress și alte date sensibile.

Dacă cineva deține acest fișier, atunci practic deține control complet asupra tuturor punctelor de vedere ale site-ului tău. Acesta este motivul pentru care chiar și codexul WordPress recomandă utilizatorilor să mute wp-config.php departe de directorul rădăcină implicit într-un folder de nivel superior care nu are acces public.

Acest lucru poate fi realizat cu ușurință prin includerea următorului fragment de cod în folderul .htaccess:

 <fișiere wp-config.php>

ordona permite, refuza

nega de la toti

</fișiere>

După cum puteți vedea, implică încurcătură cu fișierele de bază ale site-ului dvs. WordPress și, prin urmare, este recomandat să faceți o copie de rezervă înainte de a continua cu acest pas.

9. Preveniți listarea directorului cu .htaccess când un folder nu are fișier index.php

Listarea directoarelor, cunoscută și sub numele de navigare în directoare, permite oricărui utilizator să vadă conținutul folderelor individuale (directoare) de pe site-ul dvs. După cum vă puteți imagina, acest lucru necesită preocupări mari de securitate, deoarece hackerii pot naviga fără efort prin toate fișierele dvs. diferite și pot găsi vulnerabilități potențiale pentru a pătrunde în site-ul dvs.

Acum, în apărarea CMS-ului WordPress, anumite directoare conțin fișiere index.php pe care serverul le rulează/încărcă instantaneu atunci când cineva intră în folder. Acest lucru împiedică spectatorii să navigheze în directoarele dvs. și să obțină acces la structura site-ului dvs.

Dar ce se întâmplă dacă fișierul index.php nu este prezent?

Chiar și atunci, problemele pot fi rezolvate cu ușurință făcând o mică modificare a fișierului .htaccess. Tot ce trebuie să faceți este să adăugați următoarea linie la sfârșitul fișierului .htaccess și să o salvați.

 Opțiuni Toate -Indici

Odată terminat, dacă un utilizator încearcă să acceseze oricare dintre directoarele dvs. care nu are un fișier index.php, acesta va afișa utilizatorului o eroare 403 acces interzis sau 404 pagina negăsită.

10. Actualizați WordPress în mod regulat

WordPress este extrem de popular, alimentând peste 30% din toate site-urile web de pe World Wide Web. Acest lucru face ca CMS să fie ținta principală a hackerilor și a actorilor rău intenționați. Ei sunt mereu ocupați să găsească vulnerabilități de securitate și lacune în cod pe care le pot exploata pentru a obține acces la datele site-ului dvs.

De asemenea, echipa de dezvoltare WordPress caută în mod activ erori și defecte de securitate, astfel încât să le poată corecta înainte ca hackerii să le exploateze. Prin urmare, upgrade-ul la cea mai recentă versiune de WordPress nu înseamnă doar accesarea de noi funcții și funcționalități, ci și despre a vă asigura că codul nu are defecte pe care hackerii le pot exploata.

Acum, odată ce o nouă actualizare WordPress este lansată, întreaga lume, inclusiv hackerii, poate afla despre vulnerabilitățile de securitate prezente în versiunea anterioară. Dacă amânați să vă actualizați rapid site-ul la cea mai recentă iterație, atunci hackerii pot profita de vulnerabilitățile de securitate cunoscute de pe site-ul dvs., ceea ce face securitatea dvs. WordPress mult mai slabă decât înainte. În plus, deoarece WordPress este construit cu PHP, este, de asemenea, important să actualizați site-ul dvs. WordPress la cea mai recentă versiune PHP pentru a vă îmbunătăți performanța și securitatea site-ului. Nu uitați să faceți o copie de rezervă completă a site-ului dvs. înainte de a face orice actualizare!

11. Eliminați numărul versiunii WordPress

Deși ar trebui să actualizați întotdeauna site-ul dvs. WordPress de îndată ce este lansată o nouă actualizare CMS, dar uneori, nu este cea mai bună decizie pe care o puteți lua. Unele motive posibile pentru întârzierea actualizării site-ului ar putea fi din cauza unei actualizări cu erori, probleme de compatibilitate cu pluginurile și temele dvs. actuale și așa mai departe.

Cu toate acestea, așa cum tocmai am discutat, amânarea upgrade-ului vă deschide la o multitudine de amenințări de securitate și încercări de hack. Dar acest lucru poate fi evitat dacă puteți elimina numărul versiunii WordPress de pe site-ul dvs. web. De aceea, hackerii nu vor ști imediat că site-ul dvs. rulează pe o versiune mai veche, ceea ce vă reduce șansele de a fi exploatat de noile defecte de securitate descoperite.

Acum, pentru a elimina numărul versiunii WordPress de pe site-ul dvs., trebuie să mergeți la fișierul functions.php și să introduceți următorul fragment de cod:

 funcția remove_wordpress_version() {
întoarcere '';
}
add_filter('the_generator', 'remove_wordpress_version');

Acest lucru va elimina numărul versiunii WordPress atât din fișierul principal, cât și din feedul RSS, asigurându-vă că nu există nicio modalitate pentru hackeri de a ghici ce versiune de WordPress utilizați.

In concluzie

Așadar, acestea au fost câteva dintre sfaturile și trucurile noastre recomandate pentru îmbunătățirea securității WordPress. Sperăm că ați găsit această lectură utilă și că a fost o resursă utilă pentru a vă face site-ul mai sigur și mai sigur.

După cum puteți vedea, multe dintre îmbunătățiri pot fi făcute pur și simplu urmând câțiva pași de bază, unul sau doi și instalând câteva pluginuri de securitate. Acum există câteva aspecte tehnice de care ar trebui să ai grijă, de asemenea. Cu toate acestea, nu trebuie să vă faceți griji atât de mult dacă sunteți abia la început cu blogul/site-ul dvs. WordPress.

Dar, pe măsură ce site-ul tău continuă să crească, realizezi că hackerii vor încerca mai mult să intre și să provoace probleme. Ca atare, fiți mereu la curent cu cele mai recente tendințe de securitate, ca să nu mai vorbim de acoperirea tuturor pașilor tehnici discutați mai sus, cum ar fi mutarea fișierului wp-config și protejarea cu parolă a bazei de date.

Cu toate acestea în context, utilizatorii experimentați sunt încurajați să se aplece în conversație și să adauge tacticile lor personale pentru a se asigura că site-ul lor este lipsit de hackeri și malware. Colegii tăi cititori vor fi foarte avantajați de cunoștințele tale și i-ar putea ajuta să-și protejeze site-ul de potențialele amenințări cibernetice.

În cazul în care ați putea fi, de asemenea, interesat, iată ghidul nostru cuprinzător despre cum să monetizați un blog.