Securitate WordPress: Cum să securizați un site web
Publicat: 2023-10-21Securitatea WordPress este în mintea multor proprietari de site-uri. WordPress are un script open source, așa că, firește, toată lumea este îngrijorată că este vulnerabilă la atacuri de tot felul. Cu toate acestea, WordPress nu este vulnerabil în mod inerent și există mulți pași pe care îi puteți lua pentru a securiza WordPress.
La sfârșitul zilei, proprietarul site-ului este adesea mai responsabil pentru hack-uri decât platforma. Se pare că aveți multe de spus în ceea ce privește siguranța site-ului dvs. WordPress. Iată câteva sfaturi și trucuri pentru a vă ajuta să vă dați seama cum să vă securizați site-ul web pe WordPress.
Creați o blocare a site-ului și interziceți utilizatorii
Crearea unei funcții de blocare pentru încercările repetate de conectare eșuate va ajuta la prevenirea potențialilor hackeri să facă încercări continue de forță brută care în cele din urmă reușesc. Orice încercare de hacking care utilizează în mod repetat parole lungi repetitive blochează site-ul și veți fi anunțat cu privire la activitatea neautorizată. Acest lucru va bloca imediat mulți hackeri.
Una dintre modalitățile de a crește securitatea WordPress împotriva acestui tip de tentativă de hacking este pluginul iThemes Security. A fost grozav de mult timp, fără niciun semn de încetinire. Vă oferă opțiunea de a specifica câte încercări de conectare eșuate are un utilizator înainte ca pluginul să-și interzică adresa IP și să vă avertizeze.
Utilizați metode de autentificare cu doi factori
Autentificarea cu doi factori (SFA) este una dintre cele mai bune practici de securitate WordPress. Acesta solicită utilizatorului să furnizeze detalii de conectare pentru două componente spate. În calitate de proprietar al site-ului, puteți decide care sunt aceste două componente. Aceasta poate fi o parolă obișnuită urmată de un cod secret, o întrebare secretă, un set de caractere, un CAPTCHA și așa mai departe.
Mulți proprietari de site-uri preferă metoda 2FA de a-și securiza site-ul. Google Authenticator este un plugin bun pentru includerea 2FA pe site-ul dvs. Este, ca și în cazul multor plugin-uri de la Google, fiabil și adesea actualizat.
Utilizați e-mail ca nume de utilizator de conectare
Valoarea implicită pentru majoritatea site-urilor solicită un nume de utilizator pentru a vă conecta. Pentru a crește securitatea WordPress, utilizați un ID de e-mail în loc de un nume de utilizator. Este o abordare mai sigură. Numele de utilizator sunt ușor de prezis de către hackeri. E-mailurile nu sunt atât de ușor de prezis. De asemenea, conturile de utilizator WordPress trebuie create folosind o adresă de e-mail unică, ceea ce le face un identificator mai valid.
Un plugin bun pentru creșterea securității WordPress în acest fel este WP Email Login. Funcționează imediat după instalare. Pur și simplu activează-l și pleacă. Nu este necesară configurarea. Dacă doriți să îl testați, deconectați-vă de pe site și apoi conectați-vă din nou folosind adresa de e-mail cu care ați creat contul.
Redenumiți adresa URL de conectare
Este foarte ușor să vă schimbați adresa URL de conectare. Autentificarea implicită WordPress este ușor de accesat prin wp-login.php sau wp-admin adăugat la adresa URL principală a site-ului dvs. Când hackerii cunosc adresa URL directă a paginii de conectare, ei vor încerca adesea să pătrundă cu forța brută pe site-ul dvs. Ei vor încerca apoi să se conecteze cu Guess Work Database (GWDb), o bază de date cu nume de utilizator și parole ghicite, care conține milioane de combinații de caractere. Hackerii le este ușor să facă asta. Este crud, este simplu, dar este prea des eficient.
Dacă ați urmat toți pașii detaliați mai sus, atunci ați restricționat deja numărul de încercări de conectare a utilizatorilor și ați schimbat numele de utilizator pentru identificarea prin e-mail. Schimbând adresa URL în plus față de cele două măsuri de securitate WordPress, veți scăpa de 99% din atacurile directe cu forță brută. Acest lucru va face foarte mult să țină departe cel mai comun tip de hacker WordPress.
Tot ce trebuie să faceți pentru a restricționa accesul unei entități neautorizate la pagina de conectare este să utilizați pluginul iThemes Security pentru a face acest lucru:
- Schimbați wp-login.php cu ceva unic; de ex. my_new_login
- Schimbați /wp-admin/ cu ceva unic; de ex. my_new_admin
- Schimbați /wp-login.php?action=register cu ceva unic
Utilizați o gazdă de bună calitate
Gazda dvs. seamănă mult cu strada site-ului dvs. de pe internet. La fel ca adresele străzilor din viața reală, calitatea străzii poate afecta tipul de trafic pe care îl vede.
O gazdă bună va afecta cât de fiabil este site-ul dvs., modul în care funcționează, cât de mare poate ajunge și chiar cât de sus se clasează în motoarele de căutare. Gazdele foarte bune oferă proprietarilor de site-uri o mulțime de funcții utile, inclusiv asistență bună și servicii adaptate platformei alese de proprietar.
Căutați gazde care își actualizează frecvent serviciile, software-ul și instrumentele în mod regulat, aproape constant. De asemenea, ar trebui să răspundă la cele mai recente amenințări și să elimine rapid posibilele breșe de securitate. O gazdă web ar trebui să ofere caracteristici de securitate vizate, cum ar fi certificate SSL/TLS și protecție DDoS. Ar trebui să obțineți acces la un Web Application Firewall (WAF) pentru a ajuta la monitorizarea și blocarea amenințărilor grave la adresa site-ului WordPress.
O gazdă web bună vă va oferi, de asemenea, probabil o modalitate de a face backup pentru site-ul dvs. În unele cazuri, ei chiar vor face backup pentru tine. Acest lucru vă va permite să reveniți la versiunea stabilă anterioară dacă site-ul dvs. este piratat. Ar trebui să ofere asistență de încredere 24/7, astfel încât să puteți contacta întotdeauna un expert pentru a vă ajuta cu problemele de securitate a site-ului.
Comutați site-ul dvs. la HTTPS
Cu un certificat SSL/TLS, puteți trece site-ul dvs. WordPress la HyperText Transfer Protocol Secure (HTTPS), care este o versiune mai sigură a HTTP. Aceasta este o modalitate excelentă de a crește securitatea WordPress.
HTTP este protocolul care transferă date între un site web și un browser care încearcă să îl acceseze. Ori de câte ori un ceas vizitator pe pagina ta, toate constantele, media și codul sunt trimise prin acest protocol către locația vizitatorului. Acest lucru este necesar, dar creează și probleme de securitate.
Cu HTTPS, această problemă este rezolvată. Face același lucru ca HTTP, dar criptează și datele site-ului pe măsură ce se deplasează dintr-un loc în altul. A început ca ceva care a fost folosit pentru a proteja informațiile sensibile ale clienților, cum ar fi detaliile cardului de credit, dar a devenit din ce în ce mai comun pentru tot felul de site-uri.
Când treceți la HTTPS, clienții vor obține o mare încredere în a se ocupa de site-ul dvs. Este recomandat să aveți un SSL de la mărci autentificate precum Comodo, Thawte, GlobalSign etc. Dacă aveți un singur domeniu, atunci vă recomandăm să aveți un certificat Comodo PositiveSSL de la Comodo sau orice alt SSL cu un singur domeniu de la mărcile discutate. Acesta va securiza tranzacțiile online între server și browser.
Întrebări frecvente despre securitatea WordPress
Cum îmi protejez site-ul WordPress de hackeri?
Știi, când vorbim despre a-i ține pe cei răi afară, e ca și cum ți-ai încuia casa noaptea.
În primul rând, păstrați întotdeauna totul actualizat - temele, pluginurile și, cel mai important, WordPress însuși. Este ca și cum ai instala cel mai recent sistem de securitate. Nu te ușura nici cu parolele tale; fă-le complexe și unice.
Și hei, adăugarea unui plugin de securitate? E ca și cum ai avea un câine de pază; Wordfence sau Sucuri ar putea fi noul tău cel mai bun prieten.
Poate un site WordPress să fie 100% sigur?
Acum, iată adevărata discuție - securitate absolută, acesta este un mit, ca un unicorn, știi? Nici măcar Fort Knox nu este 100% sigur. Dar nu lăsa asta să te sperie. Cu mișcările corecte, puteți face site-ul dvs. WordPress o nucă greu de spart.
Audituri regulate de securitate, fiind la curent cu actualizările, folosind SSL și, bineînțeles, găzduire de încredere, construiești o fortăreață, puțin câte puțin. S-ar putea să nu atingi 100%, dar vei fi destul de aproape.
Care este treaba cu pluginurile de securitate WordPress?
Bine, așa că imaginează-ți aceste plugin-uri ca fiind gărzile tale personale. Sunt acolo, 24 de ore din 24, 7 zile din 7, fiind cu ochii pe orice afacere dubios. Wordfence, Sucuri, iThemes Security — acestea sunt câteva dintre marile nume din joc.
Ei scanează pentru malware, îi blochează pe cei răi și vă țin la curent cu alerte. Este ca și cum ai avea un detaliu de securitate pentru site-ul tău și crede-mă, merită.
Cât de des ar trebui să fac backup pentru site-ul meu WordPress?
Gândiți-vă la copiile de rezervă precum plasa dvs. de siguranță. Nu vrei să-l folosești, dar omule, nu ești bucuros că este acolo când ai nevoie? Zilnic este ideal, mai ales dacă adăugați în mod constant conținut nou.
Dar hei, dacă asta e prea mult, săptămânal ar trebui să fie minimul tău. Instrumente precum UpdraftPlus sau VaultPress, vă sprijină, automatizează întregul shebang, astfel încât să puteți dormi ușor.
Ce aud despre certificatele SSL?
Deci, certificatele SSL, este ca strângerea de mână secretă între site-ul tău și browserele vizitatorilor tăi. Criptează datele, le păstrează totul în liniște și în siguranță.
În zilele noastre, nu este doar pentru site-urile de comerț electronic; este pentru toată lumea. Google este mare în acest sens, chiar și marcând site-urile fără SSL ca „Nesigure”. Let's Encrypt îl oferă gratuit, așa că nu există scuze, bine? Obțineți acel certificat și arătați lumii (și Google) că sunteți serioși.
Ar trebui să-mi fac griji pentru rolurile și permisiunile utilizatorului?
Oh, absolut! Imaginați-vă că predați cheile casei dvs. aproape oricui? Nu, nu ai face asta. Același lucru este valabil și pentru site-ul dvs. WordPress. Fii zgârcit cu accesul de administrator.
Dă-i doar oamenilor în care ai încredere, vreau să spun cu adevărat încredere. Editori, autori, abonați – utilizați aceste roluri cu înțelepciune. Totul este să oferiți suficient acces pentru a duce treaba la bun sfârșit și nu puțin mai mult. Siguranța în primul rând, prietene.
Cum îmi pot proteja pagina de conectare WordPress?
Acum, pagina de autentificare, este ca ușa din față a casei tale WordPress. Vrei o blocare puternică pe asta. Autentificare cu doi factori, acesta este un început solid. E ca și cum ai avea o încuietoare dublă.
Ascundeți pagina de autentificare, schimbați numele de utilizator implicit administrator și limitați încercările de conectare. Fă-i cât mai greu posibil pentru băieții răi să intre. Trebuie să-i depășești la fiecare pas.
Care este cea mai bună modalitate de a monitoriza securitatea WordPress?
Să fii cu ochii pe lucruri, asta este crucial. Nu ai lăsa ușa de la intrare deschisă și ai spera doar la ce e mai bun, nu? Instrumente de monitorizare a securității, sunt ca propriile camere de securitate personale.
Scanează pentru malware, monitorizează orice activitate suspectă și sunt de serviciu 24/7. Veți primi alerte în momentul în care se întâmplă ceva neplăcut.
Totul este să rămâi cu un pas înainte și să rezolvi orice probleme din nas.
Cum știu dacă site-ul meu WordPress este piratat?
Bine, deci acesta este complicat. Uneori este foarte evident - site-ul dvs. este deteriorat sau este redirecționat către niște locuri umbrite.
Dar uneori, este mai mult ca o alarmă silențioasă. Apar link-uri ciudate, probleme de performanță, conturi de utilizator ciudate - acestea sunt semnalele voastre roșii.
Urmăriți-vă și Google Search Console; vă va avertiza dacă miroase a ceva de pește. Și amintiți-vă, scanările regulate cu pluginurile dvs. de securitate, acesta este cel mai bun pariu.
Care sunt vulnerabilitățile comune de securitate WordPress?
Aveți clasicele voastre, cum ar fi injecția SQL, în care băieții răi se încurcă cu baza dvs. de date prin coduri dus.
Apoi există cross-site scripting (XSS), care le permite să execute scripturi rău intenționate în browserele vizitatorilor dvs. Și nu uitați de atacurile cu forță brută - practic loviți în ușa dvs. de conectare până se sparge.
Dar hei, nu ești neputincios aici. Parole puternice, actualizări regulate și un firewall bun, iar tu te lupți ferm. Fii atent, fii la curent și ai asta.
Încheierea gândurilor despre securitatea WordPress
Aceste sfaturi de securitate WordPress vă vor ajuta să vă asigurați că toată munca pe care ați depus-o pe site-ul dvs. nu se va pierde într-un hack. Îi va încuraja pe oameni să viziteze și să vadă ce ai de oferit.
Dacă ți-a plăcut să citești acest articol despre securitatea WordPress, ar trebui să-l vezi pe acesta despre pluginul WordPress SSL.
Am scris, de asemenea, despre câteva subiecte conexe, cum ar fi pluginurile de scanare malware și sărurile WordPress.