Cum să vă protejați site-ul WordPress: Lista de verificare a securității WordPress definitivă
Cum să vă protejați site-ul WordPress: Lista de verificare a securității WordPress definitivă
Publicat: 2023-02-23
De ce este importantă securitatea WordPress? Un site web este primul punct de contact pentru clienții potențiali pentru a vă cunoaște și pentru a avea încredere în marca și afacerea dvs., de aceea este important să vă mențineți întotdeauna site-ul sănătos în ceea ce privește securitatea acestuia.
Pe măsură ce WordPress a câștigat popularitate în ultimii câțiva ani, a devenit un punct de fascinație al hackerilor să pătrundă în el și să vă deterioreze fișierele și, în cele din urmă, afacerea. Pe lângă hacking, există și alte amenințări, cum ar fi ransomware.
În acest articol, vom acoperi următoarele subiecte -
Cuprins
De ce este importantă securitatea WordPress?
Cât de sigur este WordPress?
Pluginuri de securitate WordPress
5 cele mai bune pluginuri de securitate WordPress 2023
Malcare
Sucuri Security
iThemes Security
Securitate WordFence
SecuPress
Tipuri de vulnerabilități de securitate WordPress
25 de cele mai bune liste de verificare pentru securitate WordPress
Concluzie:
întrebări frecvente
De ce este importantă securitatea WordPress?
Unul dintre principalele motive pentru care securitatea WordPress este importantă este că o încălcare a securității poate avea consecințe grave.
Încălcările de securitate pot avea consecințe grave, inclusiv accesul neautorizat la informații sensibile și deteriorarea site-ului dvs.
Hackerii pot accesa date sensibile, cum ar fi datele utilizatorului, parolele și informațiile financiare, ceea ce duce la furt de identitate, fraudă financiară și alte forme de criminalitate cibernetică.
Încălcările de securitate pot provoca, de asemenea, daune site-ului dvs., inclusiv deformarea sau distrugerea completă a conținutului dvs.
Ransomware este un tip de software care poate bloca accesul la site-ul dvs. web și poate solicita plata pentru a-l lansa.
Google poate lista neagră și anula indexarea site-ului dvs. în cazul în care acesta este afectat de un virus sau de un atac de tip hacking, care poate avea un impact negativ asupra reputației și traficului site-ului dvs.
Vizitatorii site-ului dvs. pot fi, de asemenea, avertizați despre problema de securitate atunci când încearcă să îl acceseze.
Toate acestea fac ca este foarte important pentru tine să-ți securizi site-ul, urmând cele mai bune practici de securitate WordPress și adoptând cele mai bune instrumente din industrie.
Pe lângă instrumentele și practicile potrivite, este foarte important să înțelegeți rolul furnizorului dvs. de găzduire.Este important să vă găzduiți site-ul web la un furnizor de găzduire web de încredere și de încredere.
Care sunt beneficiile securizării site-ului dvs. WordPress?
Securizarea site-ului dvs. WordPress poate împiedica accesul neautorizat, poate proteja datele sensibile și poate preveni pierderile financiare.
Poate ajuta la menținerea reputației site-ului dvs., prevenind ca acesta să fie inclus pe lista neagră sau marcat ca nesigur.
Clasamentul îmbunătățit al motoarelor de căutare poate rezulta din arătarea motoarelor de căutare că iei în serios securitatea.
Securizarea site-ului vă poate oferi liniște sufletească, știind că este sigur și protejat.
Câteva concepții greșite comune despre securitatea WordPress
Există o serie de concepții greșite comune despre securitatea WordPress, unele dintre ele sunt:
Site-urile web mici nu sunt imune la breșele de securitate, deoarece hackerii le vizează adesea din cauza vulnerabilității lor și a accesului potențial la rețele mai mari.
Parolele puternice sunt importante, dar doar un aspect al unei strategii cuprinzătoare de securitate pentru site-urile WordPress.
Menținerea site-ului și a pluginurilor actualizate, utilizarea pluginurilor de securitate și implementarea altor măsuri de securitate sunt, de asemenea, cruciale pentru protejarea site-ului dvs.
Chiar dacă nu colectați date sensibile pe site-ul dvs., o încălcare a securității poate provoca totuși daune site-ului și reputației dvs., ceea ce face important să luați în serios securitatea.
Cât de sigur este WordPress?
Prin WordPress, ne referim la principalele fișiere WordPress. WordPress este foarte sigur cu condiția ca utilizatorii să țină sub control toți ceilalți parametri de securitate și să urmeze toate procedurile de securitate. Este important ca administratorul WordPress să păstreze toate fișierele de bază la cea mai recentă versiune și să păstreze toate temele și pluginurile actualizate.
Pluginuri de securitate WordPress
Este recomandabil să utilizați pluginuri de securitate WP de încredere, cum ar fi Wordfence, Sucuri sau All in One WordPress Security and Firewall. Există versiuni gratuite și plătite ale acestor plugin-uri. Aceste pluginuri de securitate supraveghează cu atenție toate activitățile suspecte și blochează atacurile. Puteți configura cu ușurință aceste pluginuri folosind tablourile de bord respective.
Serverele WPOven sunt deja echipate cu toate caracteristicile acestor pluginuri de securitate și puteți configura și monitoriza din tabloul de bord WPOven.
5 cele mai bune pluginuri de securitate WordPress 2023
Aceste pluginuri sunt ieftine. Dar poate fi folosit pentru prețuri și mai ieftine în timpul Black Friday.
Malcare
Vă recomandăm Malcare deoarece vine cu scanare și curățare instantanee de programe malware. Puteți șterge automat site-ul dvs. în cei mai simpli pași folosind acest plugin. Oferă, de asemenea, montare încorporată și suport foarte bun. Prețul începe de la doar 99 USD pe an .
Descarcă acum
Sucuri Security
Sucuri Security este un plugin WP Security foarte eficient, cu funcții care includ auditarea activității de securitate, monitorizarea integrității fișierelor, scanarea de la distanță a programelor malware și monitorizarea listei negre, cu notificări prin e-mail. Are o opțiune gratuită, precum și o opțiune plătită, cu un abonament lunar începând de la 9,99 USD/lună .
Descarcă acum
iThemes Security
Itheme Security este un plugin de securitate foarte versatil, cu opțiuni precum Scanarea malware, Înregistrarea acțiunilor utilizatorului și Compararea fișierelor online, printre altele. De asemenea, există o mulțime de alte opțiuni încorporate în acest plugin, cum ar fi schimbarea adreselor URL pentru tabloul de bord WordPress, eliminarea informațiilor din antetul RSD, schimbarea căii de conținut wp etc. Are o opțiune gratuită și plătită cu un abonament anual începând de la 99 USD pean .
Descarcă acum
Securitate WordFence
Wordfence are reguli de firewall actualizate pentru malware și o listă de adrese IP rău intenționate, cu funcții precum Blocarea țării și dezactivarea sau adăugarea 2FA la XML-RPC. Are o versiune specială pentru mai multe site-uri, cunoscută sub numele de Wordfence Central, ca metodă dovedită de a securiza mai multe site-uri în mediul dumneavoastră multisite. Are o opțiune gratuită, precum și o opțiune plătită, cu un abonament anual începând de la 119 USD pean .
Descarcă acum
SecuPress
SecuPress este un simplu plugin de securitate WordPress cu scanări de malware; care blochează roboții și IP-urile suspecte. Este o instalare WordPress simplă, dar eficientă și va oferi rapoarte de securitate PDF. De asemenea, are grijă de utilizarea numelor de utilizator și parolelor securizate cu funcțiile sale, cum ar fi setarea duratei de viață a parolei și interzicerea utilizării numelor de utilizator care pot fi ușor de ghicit. Are o opțiune gratuită, precum și o opțiune plătită, cu un abonament anual începând de la 60 EUR pean .
Descarcă acum
Citiți: 5 cele mai bune pluginuri WordPress pentru eliminarea programelor malware pentru a securiza site-ul web
Tipuri de vulnerabilități de securitate WordPress
Pentru a înțelege cum să vă securizați site-ul web, este important să înțelegeți ce fel de factori amenință securitatea WordPress, iată o listă de amenințări:
Ușile din spate
Atacurile de tip Denial of Service (DoS).
Cross-site Scripting (XSS)
Redirecționări rău intenționate
Încercări de conectare în forță brută
Hack-uri farmaceutice
phishing
Ușile din spate
Hackerii vizează adesea puncte vulnerabile neconvenționale din WordPress, cum ar fi fișierele vulnerabile din pachetul de bază WordPress, fișierele de temă sau plugin și accesul FTP de pe computere nesecurizate.
Fișierele rău intenționate pot să semene cu fișierele WordPress legitime, ceea ce le face dificil de identificat și eliminat.
Fișierele backdoor pot fi folosite pentru a exploata site-urile WordPress prin crearea de utilizatori WP nelegitimi și furtul datelor utilizatorilor.
Actualizarea și scanarea regulată a fișierelor folosind plugin-uri precum WordFence, SiteCheck sau Sucuri poate ajuta la prevenirea acestor tipuri de atacuri și la îmbunătățirea securității WordPress.
Refuzarea serviciului
Utilizarea temelor și pluginurilor de la dezvoltatori de încredere este importantă pentru a evita erorile vulnerabile din cod.
În acest tip de atac, hackerii exploatează punctele slabe ale codului pentru a crește utilizarea RAM a serverului prin efectuarea de solicitări recurente, ceea ce poate face ca site-ul web să nu mai răspundă altor vizitatori.
Pot fi utilizate mai multe sisteme pentru a ocupa o singură resursă, exacerbarea problemei și potențial ducând la pierderi uriașe de afaceri.
Vulnerabilitatea WordPress poate fi redusă urmând cele mai bune practici și sfaturi pentru codificarea securizată și gestionarea site-ului web.
Cross-site Scripting (XSS):
Hackerii pot injecta fișiere vulnerabile în instalarea dvs. WordPress pentru a fura date de la vizitatorii site-ului web, inclusiv parole importante.
Aceste atacuri se găsesc în mod obișnuit în pluginurile dezvoltate de dezvoltatori noi sau care nu sunt de încredere.
Atacurile cross-site scripting (XSS) sunt executate prin JavaScript și CSS și pot dăuna vizitatorilor site-ului web în diferite moduri, cum ar fi furtul de cookie-uri, plantarea de troieni, înregistrarea tastelor, phishingul și furtul de identitate.
Consecințele unui atac XSS pot fi grave, deoarece vizitatorii site-ului web s-ar putea să nu-și dea seama că datele lor au fost compromise.
Pentru a preveni atacurile XSS, este important să utilizați numai pluginuri de încredere și să păstrați instalarea WordPress și pluginurile actualizate la cea mai recentă versiune.
Citiți: Cele mai frecvente erori WordPress
Redirecționări rău intenționate
Hackerii pot folosi un cod de redirecționare pentru a redirecționa vizitatorii site-ului web către alte site-uri web.
Acest cod de redirecționare este adesea injectat într-un fișier, de obicei un fișier .htaccess.
Când vizitatorii încearcă să acceseze site-ul dvs. web sau o anumită pagină, aceștia vor fi redirecționați către un site web rău intenționat.
Acest lucru poate face ca afacerea dvs. să piardă încrederea potențialilor clienți
Încercări de conectare în forță brută
Hackerii folosesc adesea scripturi automate pentru a identifica parolele slabe și pentru a obține acces la tabloul de bord WordPress.
Atacurile cu forță brută sunt o altă metodă comună folosită de hackeri pentru a obține acces la backend-ul unui site web, ceea ce poate duce la furtul de date personale și de afaceri, ștergerea fișierelor site-ului web și alte forme de daune.
Atacurile cu forță brută pot fi prevenite prin implementarea unor măsuri precum limitarea încercărilor de autentificare, utilizarea Captcha pe ecranele de conectare și activarea autentificării cu doi factori.
Aceste măsuri sunt cruciale pentru asigurarea securității site-ului dvs. WordPress.
Hack-uri farmaceutice
Păstrați fișierele de bază WordPress, fișierele teme și fișierele plugin actualizate la cele mai recente versiuni.
Hackerii pot exploata fișierele învechite prin injectarea codurilor care afișează reclame farmaceutice vizitatorilor dvs., promovând adesea droguri ilegale precum Viagra.
Aceste anunțuri pot apărea în pagină sau ca ferestre pop-up, ceea ce duce la pierderea încrederii în rândul vizitatorilor site-ului dvs.
phishing
Hackerii folosesc e-mailuri de phishing pentru a păcăli utilizatorii să facă clic pe un link care le expune parolele. E-mailul pare să provină dintr-o sursă de încredere, dar nu este.
Hackerii vă pot folosi serverul și instalarea WordPress pentru a trimite e-mailuri rău intenționate către lista de e-mail a victimei lor.
Este dificil să identifici dacă site-ul tău web este infectat de scripturi de phishing, dar scanările regulate pot ajuta la evitarea acestei probleme.
25 de cele mai bune liste de verificare pentru securitate WordPress
Găsiți o găzduire WordPress sigură, de încredere și de încredere
Faceți copii de rezervă frecvente
Păstrați cea mai recentă versiune de PHP pe server
Nume de utilizator și parole puternice
Protecție DDOS
Certificat SSL HTTPS
Dezactivați XML-RPC
Dezactivați execuția fișierelor PHP
Utilizatori inactivi Deconectați-vă
Ștergeți fișierele de temă și plugin neutilizate
Utilizați cât mai puțin posibil pluginuri pe cât posibil
Adăugați Captcha sau întrebare de securitate la ecranul de conectare
Permisiuni solide pentru fișiere și foldere
Limitați încercările de conectare
Autentificarea cu doi factori
Schimbați adresa URL de conectare implicită
Securizați adresa URL de conectare
Actualizați prefixul bazei de date
Dezactivați editarea fișierelor
Fișier wp-config securizat
Ascunde versiunea WP
1. Găsiți o găzduire WordPress sigură, de încredere și de încredere
După cum s-a discutat mai devreme, este important să alegeți un furnizor de găzduire care este foarte atent în ceea ce privește securitatea, respectă un standard înalt de măsuri de securitate și are un sistem de suport bun.
Un furnizor bun de găzduire va:
Păstrați un ochi vigilent asupra activităților suspecte ale hackerilor și stabiliți puncte de control pentru a vă proteja împotriva oricărui tip de atac.
Folosește instrumente de ultimă generație pentru a identifica atacurile mici și mari, prin monitorizarea continuă a serverului. De asemenea, puteți verifica gratuit monitorizarea site-ului aici.
Utilizați toate scripturile (inclusiv cele mai recente versiuni PHP), software-ul și hardware-ul bazat pe cea mai recentă tehnologie și sunt actualizate frecvent.
Firewall-uri pentru utilizatori și sisteme de detectare a intruziunilor.
Păstrați backup-uri regulate și oferiți opțiuni simple și automate de backup și restaurare.
Scanați toate fișierele împotriva malware, ransomware și alți viruși.
Oferă suport HTTPS.
Aveți personal de asistență excelent pentru a lua măsuri în cazul oricăror incidente.
Oferă planuri de găzduire WordPress gestionată, special concepute pentru nevoile WordPress.
WPOven Găzduirea WordPress gestionată all-inclusive oferă toate cele de mai sus pentru a vă ajuta să vă gestionați site-ul WordPress fără să vă faceți griji cu privire la securitate. WPOven în cadrul planului lor de găzduire WordPress gestionat oferă, de asemenea:
Câteva caracteristici cheie oferite de WPOven
Scanări zilnice de programe malware
Protecție DDOS
Curățare gratuită a programelor malware
Backup-uri zilnice offsite și restaurare cu un singur clic
Configurare Hardened Server
Setări de permisiuni pentru fișiere cu un singur clic.
Securitate și performanță optimizate ale serverului pentru WordPress și WooCommerce
Actualizați teme și fișiere direct din tabloul de bord WPOven
HTTPS/SSL gratuit pentru fiecare site web
Backup-ul este disponibil timp de până la 14 zile.
Citiți: Cele mai bune servicii și planuri de întreținere WordPress – WPOven
2. Păstrați cea mai recentă versiune de PHP pe server
Utilizarea celei mai recente versiuni de PHP este importantă pentru a menține fundația site-ului dvs. WordPress puternică, deoarece toate fișierele sunt dezvoltate folosind coduri PHP.
Versiunile PHP sunt acceptate timp de până la 2 ani împotriva problemelor de securitate și oferă corecțiile de securitate necesare în această perioadă.
Versiunile sub PHP 7.0 sunt nesecurizate, în timp ce cea mai recentă versiune, PHP 7.3, este optimizată pentru viteză și securitate.
WPOven folosește doar versiunea PHP 7.0 și mai sus și permite utilizatorilor să aleagă versiunea PHP pe care ar dori să o utilizeze, ceea ce scade vulnerabilitatea WordPress.
3. Faceți copii de rezervă frecvente
Este recomandabil să faceți copii de siguranță ale fișierelor și bazei de date ale site-ului dvs. WordPress.
Puteți face copii de siguranță manual sau utilizând pluginuri WordPress precum UpdraftPlus, VaultPress, BackupBuddy sau orice alte pluginuri de rezervă.
Puteți programa backup-uri automate utilizând aceste plugin-uri și vă asigurați că există și o opțiune de restaurare ușoară.
Pentru a păstra backup-urile în siguranță în cazul oricăror probleme cu serverul, este mai bine să le păstrați în afara serverului.
Servicii de backup WordPress:
Există câteva servicii de backup WordPress în afara site-ului disponibile pentru utilizare care stochează copiile de rezervă în cloud. Unele dintre serviciile plătite sunt precum:
VaultPress: este un serviciu de backup pe bază de abonament și o soluție generală de securitate, inclusiv scanări regulate, sistem de apărare împotriva spamului, monitorizare a timpului de funcționare și alte caracteristici de securitate.
WPOven : În cadrul serviciului lor, fac copii de rezervă ale fișierelor de bază și bazelor de date pe Amazon S3 și au o capacitate de restaurare cu un singur clic.Pe baza pachetului ales puteți alege frecvența de backup (chiar de 2 ori pe zi) și puteți alege între servere din SUA sau UE.
BlogVault: este un furnizor de soluții de backup, migrare, punere în scenă, restaurare și gestionare WordPress cu o rată de restaurare de 100%.
Pluginuri de backup WordPress:
Puteți folosi și câteva pluginuri gratuite și foarte de încredere. Unele plugin-uri oferă copii de rezervă pe server, în timp ce unele oferă copii de rezervă în afara serverului care stochează fișiere de rezervă în locații în afara serverului, cum ar fi AmazonS3, Google Cloud, Dropbox, MS Azure, Rackspace etc.
Citiți: 10 cele mai bune pluginuri de backup pentru WordPress pentru 2023 (gratuit și plătit)
4. Folosiți nume de utilizator și parole puternice
Utilizați nume de utilizator și parole puternice și greu de ghicit pentru a vă menține site-ul WordPress în siguranță.
Schimbați-vă parola la fiecare câteva luni sau săptămâni pentru a îmbunătăți securitatea site-ului dvs. WordPress.
Evitați să utilizați numele de utilizator implicit și popular „admin” ca nume de utilizator pentru WordPress.
Utilizați procesul de instalare cu un singur clic pentru a genera detalii de conectare extrem de sigure pentru WordPress Admin Dashboard.
Păstrați toate celelalte parole asociate site-ului dvs. WordPress în siguranță, inclusiv FTP, CPanel, e-mail-uri (asociate cu conturile de utilizator WordPress), parole pentru baze de date etc.
5. Protecție DDOS
Realitatea dură despre atacurile DDOS este că chiar și cele mai actualizate versiuni de WordPress nu pot preveni astfel de atacuri. Poate fi prevenit doar prin securizarea serverelor de găzduire. Există câteva instrumente terțe pe care le puteți instala pe site-urile dvs. WordPress pentru a preveni acest lucru.
Notă : dacă utilizați parteneri de încredere și de încredere precum WPOven , puteți folosi instrumentele acestora pentru a monitoriza analiza site-ului web, performanța serverului și datele de utilizare a resurselor.
Este important să identificați creșterea anormală a utilizării resurselor și să informați furnizorul de servicii.
Furnizorul dumneavoastră poate verifica toate jurnalele necesare și poate lua măsurile necesare pentru a opri atacul de refuzare a serviciului.
6. Certificat HTTPS SSL
Proprietarii de site-uri web trec cu vederea importanța SSL-ului, cei mai mulți dintre ei cred că este doar un semn care este necesar doar dacă site-ul tău implică tranzacții financiare. Un certificat SSL pe un site web este esențial în realizarea unei conexiuni sigure între site-ul dvs. web și browserul utilizatorului.
Un alt avantaj suplimentar al utilizării HTTPS este obținerea unor poziții mai bune în motoarele de căutare.
WPOven oferă un certificat HTTPS gratuit prin LetsEncrypt cu un singur clic, instalare cu reînnoire automată pentru toate site-urile.
7. Dezactivați XML-RPC
XML-RPC permite executarea mai multor procese cu o singură comandă, dar poate fi folosit în mod rău intenționat de hackeri pentru a sparge un site web.
Cea mai eficientă soluție pentru a preveni acest lucru este dezactivarea completă a XML-RPC pentru site-ul dvs. WordPress.
Puteți utiliza pluginuri disponibile pentru a dezactiva XML-RPC, cum ar fi pluginul gratuit „Dezactivați XML-RPC” sau pluginul plătit de la „Perfmait”.
Dar dacă utilizați WPOven , nu trebuie să vă faceți griji, deoarece este deja dezactivat implicit pe serverul său pentru toate site-urile web găzduite.
8. Dezactivați execuția fișierelor PHP
Există anumite directoare în mediul de instalare WordPress în care nu este nevoie de niciun tip de execuție PHP. Un exemplu de astfel de director este subdirectorul de încărcări sub wp-content.
Pentru a dezactiva directorul, creați un nou fișier .htaccess în acel director specific și inserați următorul cod în el:
<Files *.php> Deny from all </Files>
9. Utilizatori inactivi Deconectați-vă
Uneori, utilizatorii își pot închide browserele fără a se deconecta în mod corespunzător. Hackerii pot exploata această oportunitate pentru a pătrunde în tabloul de bord WordPress și a depăși acreditările utilizatorului. Puteți utiliza un plugin pentru a deconecta automat utilizatorii inactivi după o perioadă stabilită. Acest lucru este foarte important pentru securitatea dvs. wp.
10. Ștergeți fișierele de temă și plugin neutilizate
Identificați pluginurile inutile și ștergeți-le din sistem
Ștergeți temele implicite, cum ar fi Twenty Seventeen și Twenty Nineteen
Păstrați o singură temă implicită ca opțiune de rezervă în cazul eșecului temei principale
Asigurați-vă că tema alternativă este actualizată în mod regulat, chiar dacă nu este utilizată.
11. Minimizarea instalărilor de pluginuri
Să explicăm acest lucru cu un exemplu. Multe teme moderne și constructori de pagini (Avia, Thrive, Elementor etc.). Dacă tema dvs. sau generatorul de pagini pe care îl utilizați are deja un element de formular de contact, nu aveți nevoie de un plugin separat de formular de contact pentru formularele simple. Este recomandabil să evitați utilizarea pluginurilor suplimentare, cu excepția cazului în care există o nevoie specială. Ar trebui să acordați securității WP importanța cuvenită.
12. Adăugați Captcha sau întrebare de securitate la ecranul de conectare
O altă metodă populară de îmbunătățire a securității WordPress este o metodă simplă de a adăuga un captcha sau o întrebare de securitate pe ecranul de conectare. Puteți utiliza pluginurile disponibile pentru a face acest lucru.
13. Permisiuni solide pentru fișiere și foldere
Este un pas foarte important de făcut pentru a preveni atacul site-ului dvs. Practic, există trei tipuri de permisiuni pentru fișiere (Citire, Scriere, Executare). Pentru o performanță optimă și eficientă a site-ului, este important să înțelegeți ce fișiere necesită ce nivel de permisiune. Puteți seta aceste permisiuni pentru fișiere și foldere fie prin File Manager, fie folosind software-ul FTP.
Dar la WPOven, securitatea wp all-in-one oferă permisiuni pentru fișiere cu un singur clic prin tabloul de bord.
14. Limitați încercările de conectare
Hackerii fac încercări continue de a se conecta la WordPress folosind ghiciri de parolă. Puteți controla folosind pluginuri pentru a limita încercările de conectare.
Găzduirea WordPress gestionată de la WPOven acoperă deja acest lucru în toate planurile sale.
15. Autentificare cu doi factori
Activați autentificarea cu doi factori pentru o securitate suplimentară de conectare
Autentificarea cu doi factori necesită un cod OTP suplimentar înainte de a vă conecta
Codul OTP este primit pe telefonul dvs. prin SMS sau apel telefonic
Utilizați pluginuri precum Google Authenticator sau Duo Two-Factor Authentication
Ambele plugin-uri au aplicațiile lor pentru Android și iPhone
Odată ce autentificarea cu doi factori este adăugată, ecranul de autentificare va avea opțiuni suplimentare pentru a trimite un cod de autentificare
Introduceți corect codul generat primit pe telefon pentru a vă conecta
Autentificarea cu doi factori este o metodă excelentă de a preveni atacurile cu forță brută.
16. Schimbați URL-ul de conectare implicit
Hackerii caută adresa URL implicită de conectare pentru tabloul de bord WordPress, care este websitename.com/wp-login.php sau websitename.com/wp-admin/. Una dintre soluțiile evidente este schimbarea adresei URL de conectare cu altceva. Puteți face acest lucru utilizând unul dintre pluginuri precum pluginulde conectare WPS Hidesau pluginul premiumPerfmatters.
17. Securizați adresa URL de conectare
Vă puteți securiza adresa URL de conectare a administratorului WordPress folosind autentificarea HTTP. Ori de câte ori cineva încearcă să acceseze adresa URL de administrator, el/ea va trebui să folosească un nume de utilizator și o parolă suplimentare pentru a accesa acest link. Puteți citi mai multe despre Anchor Links aici
Notă: Nu utilizați acest lucru pe comerțul electronic sau pe orice site care are membri care vor trebui să se autentifice.
18. Actualizați prefixul bazei de date:
În mod implicit, instalările WordPress au folosit prefixe de tabel precum wp_, ceea ce face mai ușor să ghicească hackeri. Metoda evidentă pentru a evita acest lucru este schimbarea prefixului tabelului cu altceva, care nu este ușor de ghicit de către hackeri.
Puteți face acest lucru în momentul instalării:
Instalarea WordPress a WPOven generează un prefix de tabel aleatoriu pentru fiecare dintre site-urile lor web. Acest lucru vă va reduce problemele de securitate WordPress.
19. Dezactivați editarea fișierelor
Utilizatorii administratori ai unui site web WordPress pot accesa fișierele teme prin intermediul editorului din tabloul de bord.
Acest lucru face fișierele cu teme vulnerabile la modificări neintenționate și atacuri intenționate.
Pentru a preveni acest lucru, puteți dezactiva editarea fișierelor.
Puteți face acest lucru adăugând următoarea linie de cod în fișierul wp-config.php:
define('DISALLOW_FILE_EDIT',true);
Utilizatorii WPOven pot folosi funcția de blocare a site-ului pentru a face acest lucru cu un singur clic.
20. Fișier wp-config securizat:
Fișierul wp-config.php din instalarea dvs. WordPress conține detalii de conectare la baza de date și alte chei de autentificare, precum și alte detalii despre baza de date (cum ar fi prefixul tabelului și URL-ul gazdă DB).
Există diferite moduri de a-l securiza, după cum este descris după cum urmează:
Schimbați locația fișierului wp-config.php
Schimbați cheile de securitate WP implicite în fișierul wp-config
Interzicerea accesului la wp-config.php cu permisiunile de fișiere corespunzătoare
Schimbați locația wp-config: În mod implicit, fișierul wp-config se află în directorul rădăcină al instalării WordPress.Trebuie doar să creați un alt fișier wp-config care nu se află într-o locație ușor accesibilă și să îl utilizați ca referință în fișierul wp-config original.
Modificați cheile de securitate WP implicite: există 4 tipuri de chei alfanumerice generate aleatoriu în fiecare wp-config:AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEYșiNONCE_KEY.Puteți genera o nouă cheie aleatorie folosind acest instrument WP Security Key.
Modificați permisiunile fișierelor : este recomandabil să schimbați permisiunile fișierelor la 400, astfel încât să nu fie citit de surse externe.Alternativ, îl puteți seta la 440 dacă 400 creează un fel de problemă pentru ca instalarea WP să funcționeze corect.
21. Ascunde versiunea WP
Dacă un atacator știe ce versiune de WordPress utilizați, el poate exploata vulnerabilitățile specifice acelei versiuni. Prin urmare, este recomandabil să-l ascundeți complet. Puteți face acest lucru adăugând un mic cod în fișierulfunctions.php. Acest lucru reduce vulnerabilitatea dvs. WordPress
function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');
Pe lângă apariția în antet, puteți identifica și versiunea WordPress prin fișierul text readme. Puteți șterge acest fișier (readme.html) din instalare.
22. Scanare regulată:
Puteți rula scanări la intervale regulate folosind plugin-uri de securitate și puteți observa dacă există modificări ale fișierelor originale. Există instrumente online și, folosindu-le, puteți găsi fișiere suspecte. De exemplu, folosind acest instrument gratuit cunoscut sub numele de WPSec, puteți afla rezultatele scanării de securitate online.
23. Păstrați temele și pluginurile actualizate
WordPress, dezvoltatorii de teme și dezvoltatorii de pluginuri lansează frecvent versiuni noi.
Se recomandă să păstrați totul la zi cu cea mai recentă versiune a instalării dvs. WordPress.
Versiunile mai noi vin cu corecții de securitate pentru a proteja împotriva noilor viruși și programe malware.
Versiunile învechite sunt vulnerabile la atacuri și nu au suport din partea dezvoltatorului.
WPOven in one wp security Dashboard oferă o interfață pentru a vizualiza pluginurile și temele instalate și pot fi actualizate direct din tabloul de bord:
Actualizați pluginuri – WPOven
24. Utilizați teme și pluginuri de încredere:
Înainte de a instala orice temă sau plugin nou, verificați evaluările, recenziile și numărul de instalări pentru a vă asigura calitatea.
De asemenea, verificați jurnalele de modificări pentru a vedea cât de des actualizează dezvoltatorul versiunile.
Verificați dacă pluginul sau tema este compatibilă cu versiunea dvs. de WordPress înainte de a o instala.
Verificați istoricul dezvoltatorului și alte produse pe care le-au creat pentru a vă asigura experiența și calitatea produselor lor.
Cu înregistrarea WPOven, puteți obține teme și pluginuri premium gratuite pentru WordPress.
25. Protejați fișierele media WordPress
Protejați fișierele media WordPress împotriva indexării Google și a accesului direct la fișiere URL cu câteva clicuri simple folosind Prevent Direct Access (PDA) Gold. De fapt, pluginul oferă protecție în bloc a oricăror fișiere încărcate în biblioteca media WordPress, inclusiv, dar fără a se limita la, PDF, DOCX, PPTX, PNG, JPG, MP4 și MP3.
PDA Gold vă permite să restricționați accesul direct la fișiere numai utilizatorilor autorizați. Aceasta înseamnă că permisiunea de acces la fișiere poate fi setată fie pentru administrator, utilizatori autentificați, fie chiar pentru utilizatori anumiți și abonamente personalizate.
În plus, puteți crea link-uri de descărcare care expiră nelimitate și apoi le puteți partaja unui grup de utilizatori și abonați. Aceste link-uri de descărcare vor expira automat după o perioadă de timp sau după clicuri.
Nu în ultimul rând, PDA Gold oferă o interfață de utilizator intuitivă pentru a vă securiza imediat site-ul WordPress:
Ascunde versiunea WordPress
Preveniți conectarea la imagini
Protejați folderul de încărcări WordPress
Blocați accesul direct la fișierele sensibile la WordPress, de exemplu readme.html și license.txt
Protejați toate fișierele din încărcări și/sau directorul rădăcină cu o funcție de protecție a folderelor
Există și alte resurse în care puteți găsi detalii despre problemele recente de securitate. Aici sunt ei:
WPScan Vulnerability Database: Acesta este un catalog al tuturor vulnerabilităților identificate în WordPress, Teme, Pluginuri și API-uri. Utilizatorii își pot trimite propriile incidente pentru a-i face pe alți utilizatori conștienți de probleme.
ThreatPress: este o altă bază de date cu vulnerabilități care este actualizată zilnic de echipa lor de cercetare și dezvoltare.
Concluzie:
Articolul de mai sus trebuie să vă fi oferit o perspectivă bună asupra siguranței dvs. WordPress, dar este important să înțelegeți și să realizați că un furnizor bun de găzduire este partenerul dvs. în asigurarea securității site-ului dvs. Site-ul dvs. web este sinonim cu afacerea dvs., iar un site web securizat încorporează încredere în clienții dvs. potențiali, ceea ce este esențial pentru creșterea afacerii.
Ați luat decizia corectă dacă ați ales WPOven ca partener de găzduire, dacă nu încă, faceți primul pas pentru a vă găzdui site-ul web cu WPOven și pentru a vă consolida site-ul cu tehnologie de ultimă oră, care, în același timp, este foarte convenabil de utilizat.
întrebări frecvente
Este WordPress sigur?
Deși, WordPress în sine este o platformă foarte sigură, cu condiția ca utilizatorii să țină sub control toți ceilalți parametri de securitate și să urmeze toate procedurile de securitate. Cu toate acestea, puteți consolida și mai mult securitatea urmând cele mai bune practici de securitate WordPress.
WordPress este ușor de piratat?
WordPress este o platformă sigură, dar, ca orice altă platformă de site-uri web, poate fi vulnerabilă la amenințările de securitate dacă nu este securizată și întreținută corespunzător. Hackerii pot exploata vulnerabilitățile din pluginuri, teme sau cod personalizat prost codificate. Implementarea celor mai bune practici de securitate poate reduce considerabil riscul de a fi piratat.
Cum asigur securitatea pe WordPress?
Măsuri de bază de securitate WordPress pe care le puteți urma: 1. Folosiți parole puternice 2. Mențineți WordPress și pluginurile actualizate 3. Faceți backup regulat pentru site-ul dvs. WordPress 4. Limitați încercările de conectare 5. Utilizați autentificarea cu doi factori 6. Protejați-vă computerul și rețeaua
Postări asemănatoare:
7 moduri simple de a vă proteja site-ul de afaceri WP
