Securitate WordPress - Ghid complet pas cu pas (2020) - MalCare
Publicat: 2023-04-21Există un motiv întemeiat să vă faceți griji cu privire la securitatea site-ului dvs. Rapoartele ne spun că peste 90.000 de încercări de hack sunt făcute pe site-ul WordPress în fiecare minut al zilei.
Mulți proprietari de site-uri web ar putea crede că site-ul lor este prea mic pentru a atrage atenția unui hacker. Adevărul este că, din moment ce site-urile mici iau securitatea cu blândețe, hackerilor le este cu atât mai ușor să pirateze site-urile mici.
Mare sau mic – fiecare site WordPress trebuie să ia măsuri de securitate.
Din fericire, există numeroase lucruri pe care le puteți face pentru a vă proteja site-ul de hackeri și roboți. În acest articol, vom arăta exact ce pași trebuie să luați pentru a vă asigura că site-ul dvs. este sigur.
[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Gânduri finale”]
Importanța securității site-ului web
WordPress este cea mai populară platformă de creare de site-uri web din lume. În prezent, există 75 de milioane de site-uri web WordPress pe internet și sute de altele noi sunt create în fiecare zi. Acest tip de popularitate vine cu un preț.
Cu cât îl folosesc mai mulți oameni, cu atât este mai atractiv ca țintă pentru hackeri. Windows este o țintă mai mare decât sistemul de operare Apple. Chrome este o țintă mai mare pentru exploit decât Firefox. Popularitatea atrage mai multă atenție, atât bune, cât și rele.
Am menționat mai devreme cum proprietarii mici de site-uri își consideră site-urile imune și nu iau măsurile de precauție necesare, ceea ce îi face o țintă ideală.
Când site-ul dvs. este piratat, hackerii folosesc site-uri web pentru a desfășura activități rău intenționate. Ar putea lansa atacuri mai mari asupra altor site-uri, trimite e-mailuri spam, stochează software piratat, injectează link-uri spam, vând produse ilegale, creează link-uri afiliate cu spam SEO japonez și printre altele.
Și acesta este sfârșitul problemei. Lucrurile pot bulgăre de zăpadă rapid, iar motoarele de căutare vor oferi utilizatorilor avertismente înșelătoare ale site-ului și vă pot pune pe lista neagră site-ul. Rapoartele ne spun că Google pune pe lista neagră 50.000 de site-uri web pentru activități de phishing și aproximativ 20.000 de site-uri web pentru care conțin malware în fiecare săptămână!
În afară de asta, furnizorii de găzduire vă pot suspenda și contul. Aceasta înseamnă că site-ul dvs. web va fi închis timp de zile, ceea ce va avea un impact asupra colectării veniturilor dvs. Dacă așteptați prea mult pentru a vă repara site-ul, acesta va avea daune ireparabile afacerii dvs.
Cu toții putem fi de acord că luarea măsurilor de securitate este mult mai bună decât repararea unui site WordPress piratat.
Vă vom arăta cum vă puteți securiza site-ul, dar înainte de asta dorim să abordăm o întrebare la care se gândesc mulți dintre cititorii noștri.
[Înapoi sus ↑]
Dar WordPress nu este sigur?
Nucleul WordPress este sigur. WordPress are o armată de cei mai buni dezvoltatori care lucrează neobosit pentru a păstra nucleul WordPress în siguranță. Ei îmbunătățesc constant tehnologia și lansează patch-uri și actualizări pentru a remedia orice eroare sau eroare.
Nu a existat nicio vulnerabilitate majoră în nucleul WordPress de mult timp.
În ciuda acestui fapt, există peste 90.000 de încercări de hack pe site-urile WordPress în fiecare minut al zilei. Și există două motive principale în spatele acestui lucru.
În primul rând, WordPress este o platformă extrem de populară. Aproximativ 75 de milioane de site-uri web de pe internet sunt construite pe WordPress, ceea ce atrage atenția grupurilor de hacking din întreaga lume.
Un alt motiv este prezența temelor și pluginurilor vulnerabile și învechite. De fapt, rapoartele sugerează că temele și pluginurile învechite sunt o cauză principală a mai multor compromisuri WordPress.
(Psst - puteți citi mai multe despre acest lucru în articolul nostru privind actualizările de securitate WordPress .)
Deci, deși WordPress este o platformă sigură, există și alți factori care pot duce la un site web compromis. Prin urmare, luarea următoarelor măsuri de securitate poate ajuta la salvarea site-urilor dvs. WordPress.
[Înapoi sus ↑]
[ss_click_to_tweet tweet=”???? Dacă sunteți serios în privința site-ului dvs., acordați atenție celor mai bune practici de securitate WordPress. ????” content="" style="default"]
Cum securizați un site web WordPress?
Există 15 măsuri de securitate diferite pe care le puteți lua pentru a vă proteja site-ul WordPress. Acestea sunt:
- Instalați un plugin de securitate WordPress
- Faceți copii de rezervă regulate
- Folosiți o companie bună de găzduire
- Păstrați WordPress la zi
- Utilizați un certificat SSL
- Protejați-vă pagina de conectare WordPress
- Configurați un firewall
- Întărește-ți site-ul web
- Folosiți principiile cel mai puțin privilegiate
- Blocarea adreselor IP suspecte
- Implementați blocarea țării
- Ascunde versiunea WordPress
- Verificați jurnalul de activitate
- Utilizați numai adresa de e-mail pentru a vă autentifica
- Utilizați autentificarea HTTP
Să aruncăm o privire mai profundă asupra acestor măsuri.
1. Instalați un plugin de securitate WordPress
Funcțiile principale ale unui plugin sau serviciu de securitate sunt scanarea, curățarea și protejarea. Deși există multe pluginuri de securitate WordPress din care să alegeți, nu toate pluginurile sunt eficiente. Unele pot oferi multe funcții, dar doar creează mult zgomot. Un hacker experimentat poate ocoli astfel de pluginuri de securitate pentru a vă sparge site-ul.
MalCare este unul dintre cele mai bune pluginuri de scanare de securitate WordPress de acolo. Iata de ce -
i. Scanerul de programe malware de la MalCare
Un scaner de programe malware WordPress necesită resurse pentru a rula o scanare. Multe scanere se bazează pe resursele serverului dvs. web, dar acest lucru poate încetini viteza site-ului dvs. web.
Pentru a depăși această provocare, MalCare folosește propriile resurse de server pentru a rula o scanare a site-ului dvs. web. Acesta transferă fișierele site-ului dvs. pe propriul server și apoi rulează scanarea acolo. Această metodă asigură că site-ul dvs. rămâne neafectat în timpul procesului de scanare.
Multe scanere caută doar programe malware existente, ceea ce înseamnă că le lipsesc noi tipuri de malware. MalCare este conceput pentru a identifica toate tipurile de malware, inclusiv pe cele noi .
ii. Eliminarea programelor malware de la MalCare
MalCare oferă cel mai rapid serviciu de eliminare a programelor malware. Majoritatea serviciilor de securitate WordPress oferă curățare pe bază de bilete. În acest sens, dacă site-ul dvs. este piratat, va trebui să ridicați un bilet, să plătiți taxa de eliminare a programelor malware și apoi să așteptați ca personalul de securitate să vă curețe site-ul și să vă răspundă. Acest proces necesită timp și implică acordarea accesului la site-ul dvs. unei terțe părți.
MalCare's Cleaner funcționează diferit. În urma unui hack, timpul este esențial. Cu cât durează mai mult, există mai multe șanse ca Google să vă înscrie pe lista neagră site-ul sau gazdele web să vă suspende site-ul. De aceea, MalCare oferă o eliminare instantanee a programelor malware WordPress pentru a curăța un site web de hacker. Tot ce trebuie să faceți este să faceți clic pe un buton , să vă așezați pe spate și să lăsați pluginul să vă curățeze site-ul în câteva minute.
iii. Măsurile de protecție WordPress de la MalCare
Toate măsurile pe care le-am menționat până acum – de la utilizarea firewall-ului la blocarea țării și până la consolidarea site-ului dvs. web sunt măsuri de protecție pe care MalCare vă permite să le luați printr-un simplu clic pe buton.
Cum să utilizați MalCare?
- Pentru a utiliza MalCare, trebuie mai întâi să descărcați și să instalați pluginul pe site-ul dvs. web.
- Apoi adăugați site-ul dvs. la tabloul de bord MalCare. Pluginul va începe să scaneze site-ul dvs. imediat. Dacă găsește fișiere rău intenționate pe site-ul dvs. web, vă va anunța.
- Vă puteți curăța imediat site-ul folosind butonul Auto-Clean al MalCare.
[Înapoi sus ↑]
2. Faceți copii de rezervă regulate
Backup-urile sunt plasa ta de siguranță. Dacă ceva nu merge bine cu site-ul dvs., îl puteți restabili la normal dacă aveți o copie a site-ului dvs.
Există multe pluginuri de rezervă. Având în vedere numărul copleșitor de opțiuni disponibile, poate fi foarte ușor să ajungeți la un serviciu care nu este la înălțime. Pentru a selecta serviciul de backup potrivit, va trebui să știți cum să alegeți un plugin de backup.
În plus, revizuirea pluginurilor de rezervă va fi o afacere consumatoare de timp și costisitoare. Din fericire, am făcut o comparație între principalele pluginuri de backup WordPress de pe piață. Aruncă o privire la cele mai bune pluginuri de backup WordPress.
[Înapoi sus ↑]
3. Folosiți o companie bună de găzduire
Cei mai populari doi furnizori de găzduire sunt găzduirea partajată și găzduirea gestionată.
Gazduirea partajata este populara deoarece este mai putin costisitoare. Acesta a permis milioanelor de oameni din întreaga lume să-și înceapă propriul site web fără o investiție mare. Dar în găzduirea partajată, partajați un server cu alte site-uri web necunoscute. Și adesea, atunci când un site web este compromis, alte site-uri web de pe același server sunt afectate. Prin urmare, deși populari, furnizorii de găzduire partajată sunt prost echipați pentru a face față situațiilor amenințătoare.
Dacă vă puteți permite un server dedicat, alegeți întotdeauna asta. Face o treabă mai bună de a păstra un site WordPress în siguranță. Puteți verifica modul în care găzduirea web afectează securitatea site-ului.
Deoarece există mulți furnizori de găzduire din care să alegeți, am făcut o comparație a celor mai bune găzduiri WordPress. Sperăm că vă va ajuta să luați o decizie pentru ce furnizor de gazdă web să optați.
[Înapoi sus ↑]
4. Păstrați site-ul WordPress actualizat
Ca orice alt software, pluginurile, temele și chiar nucleul WordPress dezvoltă vulnerabilități în timp.
Când dezvoltatorii învață despre vulnerabilități, ei lansează un patch sub forma unei actualizări. Atunci când proprietarii de site-uri web nu își actualizează site-ul, vulnerabilitățile rămân.
După lansarea unui patch, dezvoltatorii anunță motivele actualizării, ceea ce înseamnă că vulnerabilitatea este anunțată public. Hackerii sunt acum conștienți de defectul de securitate și în ce versiune există. Ei sunt conștienți de faptul că nu toți proprietarii de site-uri web își vor actualiza site-ul imediat, așa că încep să caute site-uri web care rulează pe versiunea vulnerabilă. Acest interval de timp le oferă o șansă bună de a pirata cu succes un număr mare de site-uri.
Ca exemplu, statisticile arată că peste 80% dintre site-uri web au fost piratate pentru că nu erau actualizate!
Trebuie să vă actualizați site-ul WordPress în mod regulat. Aflați cum să vă actualizați site-ul WordPress în siguranță.
Este posibil să observați că există pluginuri și teme care nu sunt actualizate de dezvoltatorii lor de mult timp. În cele mai multe cazuri, software-ul este abandonat de dezvoltatori. Cel mai bine este să eliminați pluginul sau tema de pe site-ul dvs. web și să instalați o alternativă.
[Înapoi sus ↑]
5. Utilizați un certificat SSL
Aruncă o privire rapidă la adresa URL a acestui site web.
Observați încuietoarea? Această blocare înseamnă că site-ul folosește un certificat SSL. SSL este un strat de socket securizat care criptează datele în timp ce sunt transferate între browser și site-ul web.
De ce? Deoarece datele (cum ar fi detaliile cardului de credit) transferate din browserul unui vizitator pe site-ul dvs. web pot fi interceptate și furate. Deci, chiar dacă datele sunt furate, dacă sunt criptate, hackerii nu le pot folosi.
Iată un ghid care vă va ajuta să instalați un certificat SSL pe site-ul dvs. și să mutați site-ul WordPress de la HTTP la HTTPS.
[Înapoi sus ↑]
6. Protejați-vă pagina de conectare WordPress
Pagina de conectare este una dintre cele mai frecvent atacate părți ale unui site WordPress. Hackerii încearcă să ghicească datele de conectare și să acceseze zona de administrare WordPress, ceea ce le va oferi control complet asupra site-ului. Prin urmare, este important să implementați protecția potrivită pe pagina dvs. de autentificare WordPress. Să ne uităm la diferitele tehnici care vă vor permite să vă protejați pagina de autentificare și să creșteți securitatea de conectare la WordPress.
i. Utilizați un nume de utilizator unic
Dacă numele dvs. de utilizator este ușor de ghicit, atunci hackerul trebuie doar să descopere parola. Cu un lucru mai puțin de care să vă faceți griji, face munca unui hacker mult mai ușoară.
Unul dintre cele mai comune nume de utilizator WordPress este „admin”. Până acum câțiva ani, WordPress încuraja oamenii să folosească „admin” ca nume de utilizator. Deși WordPress nu mai sugerează automat „admin”, este încă folosit pe scară largă. Prin urmare, trebuie să luați măsuri pentru a vă asigura că administratorii dvs. evită să folosească „admin” ca nume de utilizator împreună cu aceste nume de utilizator utilizate în mod obișnuit.
Consultarea acestei liste de fiecare dată când se creează un nou cont de utilizator ar putea ajuta la menținerea WordPress în siguranță. În plus, dacă oricare dintre utilizatorii dvs. existenți utilizează nume de utilizator obișnuite, spuneți-le să le schimbe. Iată un ghid pe care îl vor găsi util despre Cum să schimbi numele de utilizator WordPress?
ii. Schimbați-vă numele afișat
Pentru a se infiltra pe site-ul dvs., hackerii parcurg site-ul dvs. și preiau numele afișate. Ei folosesc diferite combinații ale acestor nume pentru a încerca să se autentifice. Hackerii știu că nu este neobișnuit să aibă același nume de utilizator și același nume afișat. De exemplu, dacă Sophia Lawrence este un nume afișat, ar putea încerca să se conecteze folosind sophialawrence sau sophia.lawrence sau sophia ca nume de utilizator.
Deci, pentru a vă proteja site-ul de acest lucru, vă puteți schimba numele afișat.
Accesați „Editați profilul meu” . Și apoi schimbați „Porecla” . Salvați actualizarea. Acum, selectați „Numele afișat în mod public ca” . Apare un meniu derulant în care veți vedea noul nume afișat. Selectați-l și salvați setarea.
Hackerii vor eșua în mod inevitabil dacă vor încerca să folosească numele afișat.
[Înapoi sus ↑]
iii. Preveniți descoperirea numelui de utilizator
În afară de numele afișat, o altă metodă care poate fi folosită pentru a descoperi numele de utilizator de pe site-ul dvs. este prin WordPress Rest API. Aceasta este o problemă serioasă de securitate WordPress. Introdusă în 2016, această caracteristică de bază WordPress permite oricui să descopere informațiile utilizatorilor pe site-ul dvs. Tot ce trebuie să facă este să ruleze o adresă URL simplă: example.com/wp-json/wp/v2/users
Pentru a preveni acest lucru, utilizați următorul fragment de cod din fișierul functions.php. Va ascunde lista de utilizatori și vă va da o eroare 500 dacă încercați să rulați din nou adresa URL.
[php]
add_filter( 'rest_endpoints', function($endpoints ){
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {
unset( $endpoints['/wp/v2/users/(?P& ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );
}
returnează $endpoints;
});
[/php]
Numele de utilizator este una dintre cele două componente ale unei acreditări de conectare. Să ne uităm la a doua componentă – parola și să încercăm să ne dăm seama cum să o protejăm de hackeri.
[Înapoi sus ↑]
iv. Aplicați parole puternice
Orice parolă îmi va proteja site-ul, nu este suficient? Răspunsul este nu, deoarece hackerii încearcă în mod constant să ghicească parolele site-urilor WordPress pentru a pătrunde.
Ei folosesc o tehnică numită atacuri de forță brută în care programează roboți să facă milioane de încercări de autentificare încercând să ghicească acreditările dvs. în mai puțin de câteva minute.
Dacă utilizați o parolă ușoară, cum ar fi Passw0rd123$ , bot-ul o va sparge în câteva presupuneri. De aceea este important să aveți o parolă unică și complexă.
WordPress încurajează utilizatorii să genereze automat parole puternice, dar puteți crea în continuare un cont folosind o parolă slabă. Prin urmare, sarcina folosirii parolelor puternice cade pe umărul tău.
Îți poți educa administratorii WordPress să folosească parole puternice. Instrucțiunile pentru setarea unei parole puternice sunt următoarele:
- Creați parole lungi
În general, parolele care depășesc 8-10 caractere sunt considerate puternice și de obicei dificil de spart. Fiecare caracter pe care îl adăugați la parola o face mai puternică. Cu toate acestea, în ultimii ani, tehnologia de spargere a parolelor a avansat semnificativ. Prin urmare, mulți personal de securitate WordPress recomandă utilizarea unor fraze de acces care au 15 caractere lungime.
- Parolă lungă: pd&&)xG56ZhLNrjl4jjNJ4#h (greu de reținut)
- Fraza de acces lungă: Lupul său era alb, deoarece nu știi nimic John Snow (ușor de reținut)
– Utilizați o combinație de litere mari, minuscule și caractere speciale
În atacurile cu forță brută, roboții sunt programați să efectueze proceduri de spargere a parolelor. Ei urmează anumite instrucțiuni, de exemplu, vor încerca să ghicească parola potrivită, creând o combinație de diferite litere mici („a”, „b”, „c”, etc.). Folosind o parolă simplă precum „testpass” înseamnă că pot sparge parola după doar câteva încercări.
Prin urmare, dacă utilizați o combinație de caractere minuscule și majuscule, le va dura mult timp să descopere parola. Cu toate acestea, un bot cu adevărat bine programat poate încerca câteva milioane de parole în fiecare secundă. Deci, amestecarea caracterelor speciale, numerelor, literelor mici și majuscule ar trebui, în mod ideal, să facă parola imprevizibilă și greu de spart.
- Adăugați majuscule – TestPass
- Adăugați un număr și un simbol – TestPass123$
– Evitați utilizarea cuvintelor uzuale și a detaliilor cunoscute public
Cuvintele comune precum „test”, „admin”, „login” sunt cuvinte comune pe care utilizatorii WordPress tind să le folosească. Acestea sunt câteva dintre parolele pe care roboții le încearcă mai întâi, prin urmare evită să le folosească. Potrivit unui infografic al lui Splashdata, primele 25 de parole cele mai frecvent utilizate sunt:
- Sporturi și interese comune precum „baseball”, „fotbal” și „Star Wars”, „Princess”, „Solo” etc.
- Numere în ordine precum „87654321”, „0123456”, etc.
- Litere în ordine precum „abc123” etc.
Hackerii care vizează site-ul dvs. pot prelua detalii de pe site-ul dvs. și le pot încerca. De exemplu, dacă aveți un site web construit în jurul emisiunii dvs. TV preferate Game of Thrones, roboții vor încerca diferite combinații ale expresiei pentru a pătrunde pe site-urile dvs., cum ar fi „GoThrones123” sau „gameofthrones123”. Pentru a preveni acest lucru, proiectați o parolă care să nu menționeze nimic legat de site-ul web.
Securizarea parolelor minimizează șansele unei încălcări de securitate. Dar parolele puternice sunt greu de reținut dacă nu aveți câteva trucuri în mânecă.
[Înapoi sus ↑]
v. Protecție bazată pe CAPTCHA
Pe lângă utilizarea numelor de utilizator unice și a parolelor puternice, utilizarea CAPTCHA-urilor este o altă modalitate perfectă de a preveni atacurile cu forță brută pe site-ul dvs. WordPress.
După un anumit număr de încercări eșuate de conectare, este generat un CAPTCHA pentru a determina dacă utilizatorul este uman sau bot. CAPTCHA-urile sunt concepute pentru a fi imposibil de citit de roboți. Prin urmare, împiedică atacurile cu forță brută, deoarece roboții nu pot accesa pagina de conectare până când nu rezolvă CAPTCHA.
Pluginurile de securitate WordPress precum MalCare generează un CAPTCHA bazat pe imagini, care poate fi rezolvat doar de un utilizator real, uman.
Conceput pentru a împiedica roboții hackeri să vă spargă acreditările, CAPTCHA-urile sunt grozave.
[Înapoi sus ↑]
vi. Implementați autentificarea cu doi factori
Ați observat cum servicii populare precum Facebook și Gmail autentifică utilizatorii atunci când încearcă să se autentifice? Un cod este trimis către smartphone-ul asociat contului dvs. care ajută la validarea utilizatorului. Aceasta este cunoscută sub numele de autentificare cu doi factori.
WordPress nu oferă autentificare cu doi factori. Prin urmare, pentru a implementa acest lucru pe site-ul dvs. WordPress, puteți urma acest ghid despre Cum să adăugați autentificarea cu doi factori WordPress.
[Înapoi sus ↑]
[ss_click_to_tweet tweet=”Sute de site-uri web sunt sparte în fiecare zi. Luați măsuri de precauție astăzi și protejați-vă site-ul de hackeri și roboți. „conținut="” style="default"]
7. Configurați un firewall
Dintre sutele de vizite pe care le primiți pe site-ul dvs., unele sunt rău intenționate. Astfel de vizitatori vin pe site-ul tău cu intenția de a găsi vulnerabilități pe care le pot exploata pentru a obține controlul asupra site-ului tău.
Un firewall WordPress verifică fiecare solicitare a vizitatorilor făcută site-ului dvs. Indiferent ce dispozitiv folosește vizitatorul – desktop, smartphone-uri, tablete, laptopuri – fiecare dispozitiv este asociat cu o adresă IP. Dacă solicitarea provine de la un IP suspect, vizitatorul este blocat, în caz contrar, i se va permite să acceseze site-ul. Un firewall bun este prima ta linie de apărare împotriva traficului rău intenționat.
Un plugin pentru firewall WordPress precum cel oferit de MalCare vine cu un firewall avansat care oferă o securitate mai bună. Nu doar verifică solicitările de trafic făcute pe site-ul tău, ci înregistrează și traficul prost. Adică, atunci când dă peste un nou IP prost, păstrează o evidență a acestuia. Dacă IP-ul rău încearcă să acceseze din nou site-ul dvs., acesta este blocat imediat.
[Înapoi sus ↑]
8. Consolidează-ți site-ul web
Am identificat câteva zone comune ale unui site web WordPress de care profită hackerii. De exemplu, ar putea folosi cheile de securitate pentru a obține acces la site-ul dvs. web sau instalați pluginuri sau teme rău intenționate pe site-ul dvs. Pentru a vă proteja site-ul de hackeri, trebuie să luați măsuri pentru a vă consolida site-ul.
Avem un ghid care vă va ajuta să luați măsuri de întărire WordPress.
[Înapoi sus ↑]
9. Folosiți principiile cel mai puțin privilegiate
WordPress oferă 6 roluri implicite de utilizator WordPress: Administrator, Editor, Autor, Colaborator, Abonat și Superadmin. Alocarea acestor roluri trebuie făcută cu atenție. Fiecare rol vine cu propriul său set de putere și responsabilități. Să aruncăm o privire la ele:
Administratorul se află în vârful ierarhiei. El are control deplin asupra site-ului și poate executa următoarele funcții:
- Creați, editați și ștergeți conținut
- Editați codul pluginurilor și temelor
- Gestionați toate pluginurile și temele
- Creați, modificați și ștergeți conturi de utilizator
Drepturile scad pe măsură ce cobori în ierarhie. Editorul nu poate face modificări majore, dar poate gestiona categorii și linkuri, poate modera comentariile, poate crea, edita și șterge o postare și pagini. Autorul, colaboratorul și abonatul au mai puține permisiuni.
Cea mai înaltă responsabilitate este cea a unui Administrator, drepturile cărora ar trebui acordate persoanelor în care sunteți sigur că nu vor abuza de putere.
Dacă tipul greșit de persoane obține acces de administrator, ar putea profita de acest rol. Ei pot instala pluginuri și teme necinstite, vă pot fura datele și le pot vinde contra unui preț, pot stoca fișiere și foldere ilegale, printre altele.
[Înapoi sus ↑]
10. Blocarea adreselor IP suspecte
Dacă aveți un plugin de securitate WordPress, cum ar fi MalCare, instalat pe site-ul dvs. web, parcurgeți jurnalul de adrese IP care au încercat să se autentifice fără succes.
Observați cum unii dintre ei ar putea folosi nume de utilizator obișnuite (am vorbit despre asta în secțiunea „Utilizați un nume de utilizator unic”) precum „adm2016”. Această imagine de mai jos este o înregistrare a încercărilor eșuate de conectare făcute pe unul dintre site-urile noastre web.
Pentru a bloca aceste adrese IP rău intenționate, plasați codul în fișierul dvs. .htaccess:
[php]
comanda permite, refuza
nega de la 61.134.52.164
permite de la toti
[/php]
Înlocuiți „61.134.52.164” cu adresa IP pe care doriți să o interziceți și să salvați fișierul.
[Înapoi sus ↑]
11. Implementați blocarea țării
World Wide Web oferă hackerilor acces la site-uri web de pe tot globul. Acestea ar putea fi localizate în Rusia, vizând un site web din New York.
Statisticile arată că primele cinci țări din care provin tentativele de hack includ China, Statele Unite, Turcia, Brazilia și Rusia.
Dacă aveți instalat MalCare, este ușor să verificați utilizatorii care încearcă să se autentifice pe site-ul dvs. web. Puteți vedea țara lor de origine.
Dacă aveți utilizatori localizați numai în SUA, atunci încercările de conectare făcute din alte țări sunt cel mai probabil rău intenționate.
În imaginea de mai sus, putem vedea că s-au făcut încercări de conectare din patru țări diferite – Statele Unite ale Americii, Regatul Unit, Rusia și China.
Acum, dacă vizați numai anumite țări precum SUA, nu aveți nevoie de trafic din alte țări, prin urmare puteți bloca Regatul Unit, Rusia și China.
Pentru a afla cum să implementați blocarea țării, luați ajutorul acestui ghid despre Cum să blocați o țară în WordPress?
[Înapoi sus ↑]
12. Ascundeți versiunea WordPress
Un alt mod în care un hacker poate afla dacă aveți fișiere cu vulnerabilități WordPress cunoscute este să caute versiunea WordPress pe care o utilizați. Uneori, proprietarii de site-uri web ratează noile actualizări WordPress care îi lasă site-ul vulnerabil.
Hackerii pot exploata orice vulnerabilitate care ar fi existat în versiunea anterioară a instalării de bază WordPress. Prin urmare, ascunderea versiunii WordPress pe care o utilizați ar putea fi utilă.
Pentru a face acest lucru, trebuie să plasați un cod în fișierul function.php.
Pasul 1: Conectați-vă la contul dvs. de gazdă. Accesați cPanel > File Manager > public_html.
Pasul 2: În folderul public_html, accesați wp-content și selectați folderul temei dvs. active.
De exemplu, dacă utilizați tema WordPress implicită Twenty-Nineteen, selectați folderul numit „douăzeci și nouăsprezece”.
Rețineți că „personalblogily” este tema pe care o folosim în prezent pe site-urile noastre web, ați putea folosi o altă temă.
Pasul 3: Faceți clic dreapta pe fișierul function.php și selectați Editare. Aici, plasează următorul cod.
[php]
funcția wpbeginner_remove_version() {
întoarcere ";
}
add_filter('the_generator', 'wpbeginner_remove_version');
[/php]
Salvați fișierul, iar acest lucru va elimina numărul versiunii WordPress de la afișarea oriunde pe site-ul dvs.
[Înapoi sus ↑]
13. Verificați jurnalul de activitate
Păstrarea unui ochi vigilent asupra a tot ceea ce se întâmplă pe site-ul dvs. WordPress vă permite să identificați comportamentul suspect într-un stadiu incipient. Acest lucru vă va ajuta să contracarați orice posibile atacuri rău intenționate înainte ca acestea să se producă efectiv și să vă deterioreze site-ul WordPress.
Puteți face acest lucru instalând un plugin pentru a păstra o evidență a tot ceea ce se întâmplă pe site-ul dvs. WordPress într-un jurnal de activitate WordPress. Există mai multe plugin-uri diferite din care puteți alege. WP Security Audit Log este un astfel de plugin.
14. Utilizați numai adresa de e-mail pentru a vă autentifica
În pagina de conectare WordPress, vă puteți folosi fie numele de utilizator, fie ID-ul de e-mail pentru a vă conecta. Prin urmare, dezactivarea utilizării numelui de utilizator ar putea descuraja hackerii să efectueze atacuri cu forță brută pe site-ul dvs. web.
Există plugin-uri precum No Login by Email Address care vă permit să împiedicați utilizarea numelor de utilizator pentru a vă conecta pe site-ul dvs. web.
[Înapoi sus ↑]
15. Utilizați autentificarea HTTP
Autentificarea HTTP oferă un strat de protecție peste pagina de conectare WordPress și este un pas important către securitatea WordPress. Pentru a accesa pagina, utilizatorul trebuie să introducă acreditările HTTP. Fără aceasta, nu li se va permite să acceseze pagina de conectare a site-ului dvs.
Plugin-uri precum HTTP Auth ajută la configurarea acestui strat de protecție peste pagina de autentificare. Nu uitați să partajați acreditările de autentificare HTTP cu utilizatorii dvs. În caz contrar, se vor afla blocați și nu se vor putea conecta la site-ul dvs.
Cu asta, am ajuns la capătul măsurilor avansate de securitate pentru site-urile WordPress.
[Înapoi sus ↑]
Măsuri de securitate WordPress comune, dar învechite
În lumea securității WordPress, există o mulțime de sfaturi pe care proprietarii de site-uri tind să le primească. Dar unele dintre aceste sfaturi nu sunt foarte eficiente. Vom enumera câteva dintre sfaturile comune de securitate care au dezavantaje majore. Aceste măsuri nu vă protejează cu adevărat site-ul web, deoarece hackerii au găsit modalități de a evita aceste măsuri.
- Ascunde pagina de conectare WordPress
- Setați parolele să expire
- Deconectare automată când nu există activitate
1. Ascundeți pagina de conectare WordPress
Hackerii vizează rareori site-uri web individuale. Ei programează roboți automatizați pentru a lansa atacuri pe paginile de conectare WordPress. Oricine a folosit WordPress suficient de mult știe că site-urile web WordPress vin cu o adresă URL implicită a paginii de conectare care arată astfel: „ example.com/wp-admin” .
Acest lucru ușurează mult munca roboților automati. Prin urmare, schimbarea paginii de conectare a site-ului dvs. la ceva de genul „example.com/wrongpage” ar putea devia un atac care se apropie.
Există mai multe plugin-uri, cum ar fi WPS Hide Login, Hide WP-Admin etc., care vă pot ajuta să vă ascundeți pagina de autentificare WordPress.
Dezavantaj: Deși acest lucru poate preveni cu ușurință încercările automate de hack, nu garantează că site-ul dvs. va fi în siguranță. Acest lucru se datorează în principal faptului că instrumente precum WPS Hide Login oferă o adresă URL de conectare implicită. Deci, sute de mii de site-uri web care folosesc instrumentul folosesc aceeași adresă URL pentru pagina lor de conectare. Hackerii pot afla cu ușurință formatul URL și pot lansa atacuri.
Mai mult, ascunderea paginii de autentificare fără a informa în mod corespunzător toți utilizatorii se poate dovedi a fi foarte incomod. Te poate costa chiar și o zi de muncă.
[Înapoi sus ↑]
2. Setați parolele să expire
Trebuie să fi observat în serviciile de e-banking că îți cer să schimbi parolele după ce a trecut o anumită perioadă de timp. Aceasta este o măsură de siguranță care asigură că, dacă contul dvs. este piratat, hackerul primește doar o fereastră limitată pentru a vă exploata contul. Aplicarea aceleiași măsuri pe site-urile dvs. WordPress reduce daunele.
Folosind pluginul Expire Passwords, puteți seta parolele de utilizator să expire după un anumit număr de zile. Toți utilizatorii sunt obligați să-și actualizeze parolele.
Dezavantaj: această măsură oferă un anumit nivel de securitate, dar hackerii găsesc modalități de a o depăși. De exemplu, atunci când vă sparg site-ul, creează noi conturi de utilizator sau instalează backdoors ascunse. Deci, chiar dacă vă schimbați parola în mod regulat, au creat deja alte puncte de acces.
[Înapoi sus ↑]
3. Deconectare automată când nu există activitate
Pentru site-urile web cu mai mulți utilizatori, șansele de abuz al drepturilor utilizatorului sunt mari. Este chiar mai mare pentru utilizatorii care lucrează de la distanță. Este posibil ca un utilizator să fie nevoit să-și părăsească biroul pentru a se ocupa de afaceri urgente și să uite să se deconecteze.
Ce se întâmplă dacă cineva abuzează de site-ul web în acest timp? Pentru a reduce riscul unui astfel de abuz, puteți configura site-ul dvs. WordPress pentru a deconecta automat utilizatorii dacă aceștia sunt inactivi pentru o perioadă lungă de timp.
Pluginul Deconectare inactivă oferă o funcție de deconectare a sesiunii inactive. Acest lucru vă permite să setați o perioadă de inactivitate care este acceptabilă, cum ar fi 10 sau 20 de minute, după care utilizatorul este deconectat automat.
Dezavantaj: Dar șansele sunt că dacă cineva dorește să se uite pe site-ul tău, o va face imediat după ce utilizatorul pleacă. În astfel de cazuri, deconectarea utilizatorilor inactivi nu poate preveni abuzul drepturilor utilizatorului.
[Înapoi sus ↑]
[ss_click_to_tweet tweet=”Îți faci griji pentru securitatea site-ului tău? ???? Luați acești pași acționați pentru a vă proteja site-ul împotriva vulnerabilităților de securitate.” content="" style="default"]
Gânduri finale
Știm că a fost o lectură foarte lungă și puțin copleșitoare. Dar înainte de a încerca să trageți un pui de somn, iată ce vă sugerăm să faceți:
- Marcați acest articol.
- Împărtășiți-l prietenilor și vecinilor - oricine credeți că ar avea de câștigat dacă urmați ghidul nostru.
- Consultați mai multe ghiduri precum Secure Your WordPress Site With wp-config.php de pe blogul nostru WordPress.
Sperăm din suflet că ați găsit acest articol util. Vrem să vă lăsăm cu un ultim gând – luarea tuturor acestor măsuri de securitate poate fi foarte copleșitoare, așa că vă sugerăm să efectuați audituri de securitate WordPress regulate și să optați pentru un plugin de securitate premium pentru WordPress, cum ar fi MalCare, care se va ocupa de securitate pentru dvs.
Cu MalCare, veți avea acces la funcții de securitate ingenioase, cum ar fi firewall-ul, scanări regulate de malware, întărirea WordPress și multe altele. Puteți fi liniștit știind că securitatea site-ului dvs. este îngrijită.
Încercați pluginul nostru de securitate WordPress – MalCare chiar acum!