Singura listă de verificare a securității WordPress de care veți avea nevoie în 2024

WordPress este un sistem securizat de management al conținutului (CMS), dar modul în care vă configurați și configurați site-ul web poate afecta nivelul de securitate al acestuia. Dacă nu luați măsuri pentru a vă proteja site-ul, este posibil să vă confruntați cu o încălcare a datelor sau să vă pierdeți conținutul.

Pentru a vă ajuta, am creat cea mai bună listă de verificare a securității WordPress. Acest lucru vă va ghida prin toți pașii de care aveți nevoie pentru a vă proteja site-ul împotriva roboților și atacatorilor.

În această postare, vom arunca o privire asupra caracteristicilor de securitate încorporate ale WordPress. Apoi, vă vom arăta 30 de lucruri pe care le puteți face pentru a vă proteja și mai mult site-ul.

WordPress oferă securitate încorporată?

Da, WordPress oferă câteva măsuri de securitate. Tabloul de bord administrativ este protejat de o pagină de conectare care solicită utilizatorilor să introducă un nume de utilizator și o parolă valide.

De asemenea, CMS primește patch-uri și actualizări regulate pentru a elimina vulnerabilitățile de securitate. În general, dacă păstrați WordPress și componentele sale la zi, veți fi ferit de cele mai comune vulnerabilități.

Acestea fiind spuse, există și elementul uman de luat în considerare. În multe cazuri, site-urile WordPress sunt sparte din cauza unei erori umane, cum ar fi partajarea sau reutilizarea acreditărilor de conectare. Dacă un atacator obține acces la un cont cu un nivel ridicat de privilegii, acesta poate face ravagii pe site-ul dvs.

Deoarece CMS este o platformă atât de populară, atacatorii scanează web-ul încercând să găsească site-uri WordPress cu vulnerabilități cunoscute. Cu cât site-ul tău crește mai mult, cu atât va deveni o țintă mai mare.

Care este cel mai simplu mod de a securiza un site WordPress?

Securizarea unui site web WordPress necesită să schimbați configurația site-ului și să adăugați mai multe caracteristici care îngreunează accesul atacatorilor. Dacă nu aveți timp să urmați întreaga listă de verificare a securității WordPress, cel mai bun lucru pe care îl puteți face este să instalați o securitate. conecteaza.

Jetpack Security vă oferă acces la mai multe funcții de securitate, cum ar fi scanarea și eliminarea automată a programelor malware, protecție împotriva spamului și backup-uri în timp real.

Este important să rețineți că niciun plugin nu vă poate proteja site-ul împotriva tuturor potențialelor amenințări cu care se poate confrunta. Prin urmare, veți dori să vă securizați și mai mult site-ul dacă sunteți serios în ceea ce privește protejarea datelor și munca grea.

De exemplu, veți dori să impuneți parole puternice și să activați autentificarea cu doi factori (2FA). Vom arunca o privire mai atentă asupra acestor măsuri de securitate (și multe altele) în lista noastră de verificare.

Lista de verificare a securității WordPress în 30 de pași

Amintiți-vă că nu trebuie să lucrați la toate aceste măsuri de securitate simultan. Eliminarea fiecărui element din lista de verificare poate dura ceva timp, dar cele mai multe dintre ele sunt remedieri pe care trebuie să le implementați o singură dată.

Așadar, iată 30 de moduri prin care poți spori securitatea site-ului tău.

1. Mențineți WordPress actualizat

Instalările învechite de WordPress sunt poate cea mai mare cauză a încălcărilor de securitate. Mulți utilizatori uită să actualizeze WordPress, împreună cu pluginurile și temele de pe site-urile lor. Aceasta este o problemă semnificativă, deoarece software-ul învechit tinde să fie o țintă principală în rândul atacatorilor.

Cu cât software-ul este mai vechi, cu atât atacatorii au avut mai mult timp pentru a-i analiza codul și pentru a găsi lacune de securitate. Dezvoltatorii monitorizează aceste amenințări și le remediază pe măsură ce apar. Prin urmare, veți dori să rulați actualizări imediat ce sunt lansate.

Din fericire, WordPress vă permite să rămâneți la curent cu actualizările. În tabloul de bord, accesați Actualizări fila și veți vedea o prezentare generală a tot ceea ce este disponibil.

Dacă aveți o mulțime de actualizări de rulat, este important să faceți o copie de rezervă a site-ului dvs. WordPress înainte de a continua. Acest lucru este deosebit de important atunci când actualizați la o versiune WordPress mai nouă, deoarece uneori poate cauza probleme de compatibilitate cu pluginuri și teme.

Veți dori să vă verificați pagina de actualizări zilnic. Alternativ, puteți activa actualizările automate pentru pluginurile și temele dvs.

În acest fel, dacă uitați să vă verificați site-ul pentru actualizări, acestea vor fi rulate automat.

2. Creați nume de utilizator și parole puternice

Site-ul dvs. este la fel de sigur ca acreditările pe care le utilizați pentru a-l accesa. WordPress însuși vă va anunța dacă setați o parolă slabă atunci când creați un cont nou.

O parolă „slabă” este orice lucru care este ușor de ghicit. Dacă acreditările dvs. sunt de genul „administrator” și „1234”, site-ul dvs. va cădea probabil victima atacurilor cu forță brută.

În mod ideal, parola ar trebui să conțină cel puțin opt caractere și o combinație de litere, cifre și caractere speciale. Dacă aveți mai mulți utilizatori pe site-ul dvs. WordPress, poate doriți să le reamintiți să folosească acreditări puternice și să-și schimbe parolele la fiecare câteva luni.

3. Adăugați un strat suplimentar de protecție cu 2FA

Autentificarea cu doi factori este o măsură de securitate care necesită să utilizați un al doilea nivel de autentificare atunci când vă conectați la un site. De exemplu, unele site-uri web vă pot solicita să introduceți un cod unic trimis prin e-mail sau SMS.

Scopul 2FA este de a face aproape imposibil ca atacatorii să vă ghicească acreditările. Fără acces la un alt dispozitiv sau cont, aceștia nu se vor putea conecta la WordPress.

În mod implicit, WordPress nu include funcționalitatea 2FA, așa că va trebui să utilizați un plugin precum Jetpack pentru a adăuga această funcție pe site-ul dvs. Cu Jetpack, puteți adăuga 2FA (numit autentificare securizată) care funcționează cu contul dvs. WordPress.com.

4. Instalați un plugin de securitate de încredere

Pluginurile puternice de securitate WordPress vă vor ajuta să închideți mai multe elemente din această listă de verificare a securității WordPress. În mod ideal, veți alege un singur instrument care oferă următoarele caracteristici:

Scanare malware

Dacă site-ul dvs. web se infectează, veți dori să aflați cât mai curând posibil. Scanările regulate de programe malware vă vor informa dacă vreo parte a site-ului dvs. este în pericol.

Instrumente de eliminare a programelor malware

Dacă pluginul dvs. de securitate identifică malware, veți dori ajutor pentru a-l elimina. Acest lucru poate implica ștergerea fișierelor sau înlocuirea lor, în funcție de partea site-ului dvs. WordPress care este infectată.

Backup-uri

Există o mulțime de soluții de backup și plugin-uri independente pentru WordPress. Unele instrumente de securitate all-in-one includ backup-uri automate, astfel încât nu va trebui să instalați un plugin suplimentar.

Jurnalele de securitate

În mod ideal, veți dori să știți tot ce se întâmplă pe site-ul dvs. web. Jurnalele de securitate înregistrează evenimente în WordPress și vă permit să le căutați pentru a găsi activități suspecte.

Implementarea 2FA

După cum am discutat mai devreme, 2FA este un instrument critic care vă poate ajuta să minimizați riscul de încălcare a securității din cauza acreditărilor furate.

Jetpack Security include toate aceste caracteristici, astfel încât să puteți efectua mai mulți pași din această listă de verificare a securității cu un singur instrument.

5. Utilizați un firewall pentru aplicații web (WAF)

Un WAF este o soluție de securitate care ajută la protejarea aplicațiilor și site-urilor web - inclusiv site-urile WordPress - de atacuri prin filtrarea și monitorizarea traficului. În funcție de software, acesta ar trebui să poată identifica traficul rău intenționat folosind reguli prestabilite sau baze de date ale atacatorilor cunoscuți.

O mulțime de gazde web au configurat automat firewall-uri pentru clienții lor. De asemenea, puteți utiliza Jetpack Security pentru a adăuga un WAF pentru site-ul dvs. WordPress.

Jetpack Security vă permite să configurați WAF-ul pentru a-și folosi regulile prestabilite și pentru a bloca anumite adrese IP. De asemenea, puteți partaja datele de activitate cu Jetpack, ceea ce ajută la eficientizarea WAF-ului prin creșterea bazei de date cu amenințări cunoscute.

6. Scanați în mod regulat WordPress pentru malware și vulnerabilități

Scanarea site-ului dvs. pentru malware și vulnerabilități implică examinarea tuturor fișierelor sale pentru a căuta modificări neautorizate sau cod rău intenționat. Deși procesul poate părea descurajator, există instrumente care pot face acest lucru pentru tine.

Jetpack Security utilizează WPScan (cea mai mare bază de date de vulnerabilități WordPress cunoscute) pentru a vă scana site-ul web.

Dacă pluginul WordPress găsește malware sau vulnerabilități, vă poate notifica imediat și chiar vă poate ajuta să eliminați sau să reparați fișierele afectate. Acest lucru este mult mai simplu decât abordarea manuală, care necesită să determinați ce fișiere să ștergeți și să aflați cum să le reparați.

7. Faceți copii de rezervă ale site-ului dvs. în mod regulat sau în timp real

Backup-urile sunt o componentă critică a securității site-ului web. Dacă se întâmplă ceva cu site-ul dvs., acestea vă permit să vă porniți din nou și să rulați rapid.

Să te bazezi pe furnizorul tău de găzduire pentru copii de rezervă nu este o opțiune sigură, deoarece un compromis al serverului tău ar putea face atât site-ul tău WordPress, cât și backup-urile sale inutile.

În schimb, aveți nevoie de o soluție de backup în timp real, în afara site-ului, pentru a vă asigura că sunteți protejat 24/7 și că vă puteți restaura site-ul dintr-o dată, chiar dacă este complet oprit.

Jetpack VaultPress Backup face exact acest lucru, salvând site-ul dvs. de fiecare dată când faceți o schimbare.

Pluginul stochează aceste copii de rezervă în cloud pentru a evita supraaglomerarea serverului. Utilizează o combinație de backup-uri incrementale și diferențiate, astfel încât nu trebuie să copieze întregul site și baza de date de fiecare dată când faceți o schimbare, ceea ce face procesul mult mai eficient.

Dincolo de modificările site-ului, Jetpack VaultPress Backup salvează noi comentarii, comenzi și alte acțiuni ale utilizatorului. Este instrumentul principal de rezervă pentru magazinele WooCommerce, deoarece va salva comenzile chiar dacă trebuie să readuceți site-ul WordPress la o versiune anterioară.

8. Stocați copiile de rezervă pe un server separat

După cum am menționat mai sus, pur și simplu să faceți copii de rezervă nu este suficient. Trebuie să le stocați în mai multe locații, sigure, în afara site-ului, astfel încât, dacă există o încălcare a securității digitale sau un dezastru fizic la un centru de date, puteți accesa și restaura fișierele site-ului. Acesta este același motiv pentru care nu vă puteți baza doar pe copiile de rezervă de la gazdă - site-ul și backup-urile ar putea fi compromise simultan.

Dacă utilizați VaultPress Backup, toate acestea sunt rezolvate pentru dvs. Backup-urile dvs. sunt stocate în mai multe locații din cloud și sunt întotdeauna accesibile, chiar dacă site-ul dvs. este oprit.

9. Urmăriți activitatea utilizatorului

Dacă aveți acces la jurnalele de activitate ale site-ului dvs., veți putea vedea când cineva încearcă să se conecteze de mai multe ori și nu reușește, dacă există o modificare a unui fișier WordPress, dacă cineva instalează un plugin nou și multe altele.

Gândiți-vă la jurnalele ca la echivalentul tehnologic al înregistrărilor de securitate. Speri că nu trebuie să le folosești niciodată, dar sunt o caracteristică de securitate utilizată pe scară largă pentru un motiv. WordPress nu oferă această funcționalitate în mod implicit, așa că va trebui să căutați un plugin care să o facă.

Jetpack Security vă permite să monitorizați tot ce se întâmplă pe site-ul dvs. web. Păstrează un jurnal de activitate care înregistrează cine face ce, cu date și ore. Dacă întâmpinați o problemă de securitate, puteți verifica acest jurnal pentru a vedea ce a cauzat-o.

De asemenea, se integrează cu funcționalitatea VaultPress Backup, astfel încât să vă puteți restaura site-ul la un anumit moment, pe baza a ceea ce găsiți în jurnalul de activitate.

10. Controlați accesul și permisiunile utilizatorilor

Una dintre cele mai simple moduri de a menține orice sistem în siguranță este de a limita cine are acces la el. Dacă ești singura persoană care lucrează pe site-ul tău, nimeni altcineva nu ar trebui să știe informațiile tale de conectare WordPress.

Când lucrați cu o echipă, este important să utilizați pe deplin sistemul de rol de utilizator WordPress. CMS oferă mai multe roluri pe care le puteți atribui utilizatorilor, în funcție de permisiunile pe care doriți să le aibă.

Cel mai înalt rol este cel de administrator și acesta este singurul utilizator cu acces complet la toate funcțiile și setările WordPress. Alți utilizatori WordPress, precum autorii, își pot publica doar propriul conținut și nu vor putea modifica configurația site-ului sau chiar să acceseze setările acestuia.

Când vă gândiți ce rol să atribuiți fiecărui utilizator, gândiți-vă la permisiunile de care au nevoie pentru a-și îndeplini sarcinile. Niciun utilizator nu ar trebui să aibă mai multe permisiuni decât are nevoie. Aceste restricții vă vor menține site-ul mai sigur.

11. Limitați numărul de încercări de conectare permise

Încercările repetate de conectare pot fi un semn că cineva și-a uitat acreditările. Dar dacă numărul de încercări este mai mult decât o mână, probabil că ai de-a face cu cineva care încearcă să pătrundă pe site-ul tău.

Ar trebui să limitați încercările de conectare permise într-o anumită perioadă de timp pentru a opri atacurile automate de forță brută. Încă o dată, puteți folosi Jetpack pentru a implementa această măsură de securitate.

Pluginul poate bloca atacatorii care încearcă să folosească acreditările comune pentru a intra pe site-ul dvs. De asemenea, îl puteți configura pentru a permite lista adreselor IP specifice, astfel încât numai utilizatorii lor să se poată conecta la WordPress.

12. Utilizați un CDN pentru a vă proteja împotriva atacurilor DDoS

O rețea de livrare de conținut (CDN) este un sistem de date care stochează copii ale site-ului dvs. pe servere din diferite locații din lume - reducând latența care poate rezulta atunci când cineva încearcă să viziteze un site găzduit într-o țară îndepărtată. Când cineva încearcă să viziteze site-ul dvs. WordPress, CDN-ul va răspunde automat la cererea de la un server din apropiere.

CDN-ul poate ușura sarcina pe serverele dvs., vă poate ajuta să gestionați mai mult trafic, să reduceți timpii de încărcare și să vă protejeze împotriva atacurilor distribuite de refuzare a serviciului (DDoS). Deoarece atacurile nu vor lovi direct serverul dvs., acesta nu va fi la fel de puternic afectat dacă este inundat de traficul bot.

Dacă utilizați Jetpack Security, aveți acces la un CDN de imagine care vă poate ajuta să stocați în cache fișierele media pentru timpi de încărcare mai rapid. În plus, redimensionează automat imaginile și oferă cea mai bună opțiune în funcție de dispozitivul individual al fiecărui vizitator. De asemenea, puteți lua în considerare integrarea altor CDN-uri cu WordPress pentru a reduce și mai mult timpii de încărcare și pentru a vă proteja site-ul de creșterile bruște ale traficului.

13. Instalați un certificat SSL

Un certificat SSL (secure sockets layer) este un semnal că site-ul dvs. poate fi de încredere. De asemenea, vă permite să vă încărcați site-ul prin HTTPS, care criptează datele care circulă către și dinspre site-ul dvs.

Majoritatea browserelor semnalează că site-urile web au certificate SSL cu o simplă pictogramă de lacăt în bara de navigare.

În zilele noastre, majoritatea gazdelor web de renume oferă certificate SSL gratuite și configurare automată pentru utilizatori. Dacă gazda dvs. web nu face acest lucru, puteți obține un certificat gratuit de la o sursă precum Let's Encrypt.

Odată ce certificatul este gata, va trebui să îl instalați și apoi să activați HTTPS. Există mai multe moduri de a forța WordPress să se încarce prin HTTPS. Really Simple SSL vă permite să faceți acest lucru cu un simplu clic.

Vă păzim site-ul. Îți conduci afacerea.

Jetpack Security oferă securitate cuprinzătoare și ușor de utilizat pentru site-ul WordPress, inclusiv copii de rezervă în timp real, un firewall pentru aplicații web, scanare malware și protecție împotriva spamului.

Asigurați-vă site-ul

14. Preferați SFTP în loc de FTP când transferați fișiere

Protocolul de transfer de fișiere (FTP) vă permite să vă conectați la site-ul dvs. web și să încărcați, descărcați și modificați fișiere direct. Protocolul utilizează un set diferit de acreditări, pe care gazda dvs. web ar trebui să vi le furnizeze.

Unele gazde folosesc o versiune actualizată și mai sigură a protocolului numită SFTP. Clienții FTP moderni acceptă ambele protocoale și funcționează la fel. Principala diferență este că SFTP criptează datele pe care le trimiteți și le primiți de la server (la fel ca HTTPS).

Dacă gazda dvs. web vă permite să utilizați atât FTP, cât și SFTP, implicit la acesta din urmă. În cazul în care gazda dvs. web acceptă doar FTP, vă recomandăm să luați în considerare trecerea la un furnizor care oferă funcții de securitate mai bune.

15. Păstrați versiunea PHP actualizată

WordPress este construit pe PHP, iar versiunea pe care o utilizați joacă un rol important în viteza site-ului. Versiunile mai noi de PHP includ remedieri de securitate care vă pot ajuta site-ul să ruleze mai rapid și să prevină exploatările.

Puteți vedea ce versiune de PHP folosește serverul dvs. navigând la Site Health → Info și deschiderea Serverului fila.

Comparați aceste informații cu cea mai recentă versiune PHP și vedeți dacă gazda dvs. web folosește cea mai recentă versiune. Unele gazde web vă pot permite să comutați între versiunile PHP. Dacă al dvs. nu, ar putea fi timpul să luați în considerare trecerea la o nouă gazdă WordPress.

16. Ștergeți temele și pluginurile WordPress inactive

Este o regulă de bază să dezactivați și să ștergeți orice plugin sau teme WordPress pe care nu le mai utilizați. Acest lucru poate reduce șansele de probleme de compatibilitate sau vulnerabilități.

Ștergerea temelor și pluginurilor inactive vă va menține site-ul mai sigur și mai organizat. Veți dori să verificați periodic pluginurile dvs. active și să notați cele pe care nu le mai utilizați.

17. Evaluați cu atenție noile pluginuri și teme

Înainte de a instala orice plugin sau temă pe site-ul dvs. web, este important să vă asigurați că acesta provine de la dezvoltatori reputați și că are un istoric bun. Puteți face acest lucru verificând evaluările și recenziile sale.

Același lucru este valabil și pentru temele WordPress. Majoritatea depozitelor de pluginuri și teme vă vor arăta un istoric al actualizărilor. Un plugin sau o temă de renume va avea actualizări regulate, ceea ce înseamnă că dezvoltatorii lucrează activ la el.

Doriți să evitați pluginurile și temele WordPress care nu mai primesc actualizări. Indiferent cât de utile ar fi, acestea pot duce la vulnerabilități pe site-ul dvs., deoarece codul este învechit.

18. Investește într-un furnizor de găzduire securizat

Nu toți furnizorii de găzduire oferă același nivel de servicii, performanță și caracteristici. Unele sunt mai bune decât altele și asta nu înseamnă neapărat că sunt mai scumpe.

Alegerea unui furnizor de găzduire WordPress puternic și sigur este o decizie crucială, deoarece de obicei veți fi legat de acesta pentru o perioadă lungă de timp. Este important să citești cât mai multe recenzii și să faci cercetări înainte de a te angaja în orice serviciu.

Dacă aveți nevoie de ajutor, puteți consulta această listă de gazde recomandate de Jetpack, dintre care unele includ funcții cheie Jetpack ca parte a serviciilor de găzduire WordPress gestionate.

19. Schimbați administratorul implicit nume de utilizator

Când configurați WordPress, acesta va crea în mod implicit numele de utilizator de administrator. Acest lucru ușurează să vă amintiți acreditările, dar le permite atacatorilor să vă ghicească detaliile.

Dacă contul dvs. de administrator WordPress este deja configurat, aveți două opțiuni pentru a schimba numele de utilizator implicit al administratorului:

1. Creați un nou cont de administrator. Puteți crea un nou cont de administrator cu orice nume de utilizator doriți și apoi să comutați la acesta. După ce ați făcut-o, puteți șterge vechiul cont și puteți continua cu utilizarea celui nou.
2. Schimbați numele de utilizator folosind phpMyAdmin. Dacă doriți să păstrați contul existent, puteți modifica numele de utilizator prin baza de date.

Niciun nume de utilizator nu ar trebui să fie ușor de ghicit, mai ales când vine vorba de contul de administrator. Dacă cineva are acces la acesta, va putea face orice modificări dorește site-ului dvs. web.

20. Schimbați prefixul implicit al bazei de date

Prefixul implicit al bazei de date în WordPress este wp_ . Aceasta înseamnă că, dacă un atacator știe numele bazei de date, poate, de asemenea, să ghicească prefixul și să folosească informațiile respective pentru a încerca să o interogheze.

Puteți minimiza acest risc schimbând prefixul implicit al bazei de date cu orice în afară de wp_ . Acesta este un proces în doi pași. Primul pas este schimbarea prefixului bazei de date în fișierul wp-config.php , care ar trebui să aibă o linie care să arate astfel:

 $table_prefix = 'wp_';

După efectuarea modificării în wp-config.php , va trebui să actualizați tabelele din baza de date cu noul prefix. Puteți face acest lucru folosind phpMyAdmin și rulând mai multe interogări similare cu aceasta:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Puteți utiliza acea structură de interogare și puteți modifica ceea ce urmează după „TO” pentru a potrivi numele tabelului cu prefixul actualizat. Rețineți că va trebui să rulați acea interogare pentru fiecare tabel din baza de date și, până când o faceți, site-ul dvs. nu va funcționa corect.

21. Schimbați URL-urile implicite /wp-admin și /wp-login.php

URL-urile /wp-admin și /wp-login.php vă permit să accesați tabloul de bord și pagina de conectare în WordPress. Aceste adrese URL sunt ușor de reținut, dar vă fac site-ul mai vulnerabil. Dacă cineva dorește să pătrundă pe site-ul tău web, va începe adesea cu adresa URL implicită de conectare WordPress.

Puteți îngreuna viața atacatorilor schimbând acele adrese URL implicite. Există pluginuri care vă permit să faceți acest lucru, cum ar fi WPS Hide Login. Alternativ, puteți modifica adresele URL de conectare prin fișierul .htaccess dacă preferați o abordare manuală.

22. Limitați accesul wp-admin numai la adresele IP autorizate

Adresa URL /wp-admin deschide tabloul de bord în WordPress. Din punct de vedere tehnic, nimeni nu ar trebui să aibă acces la tabloul de bord fără acreditările potrivite. Puteți duce securitatea cu un pas mai departe limitând accesul numai la IP-urile permise.

Aceasta nu este o caracteristică oferită de WordPress. Pentru a-l implementa, va trebui să adăugați următorul cod în fișierul .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx reprezintă adresa IP pe care doriți să o includeți pe lista permisă. Rețineți că puteți adăuga mai multe adrese IP prin copierea acelui rând și introducerea diferitelor adrese.

De asemenea, va trebui să modificați calea directorului, astfel încât să se potrivească cu locația directorului rădăcină de pe server. După salvarea fișierului, orice adresă IP care nu este în listă va vedea o eroare dacă încearcă să acceseze tabloul de bord.

23. Limitați accesul FTP numai la adresele IP autorizate

Puteți limita accesul FTP/SFTP la site-ul dvs. web restricționând cine are acces la acreditările corespunzătoare. Unele panouri de control de găzduire vă permit, de asemenea, să limitați accesul FTP prin adresa IP.

Acest lucru este ideal dacă aveți o adresă IP statică, deoarece va împiedica pe oricine altcineva să se conecteze la site și să acceseze fișierele acestuia prin FTP, chiar și cu acreditările potrivite. Fără un IP static, această setare poate limita chiar și propriul acces la site.

Rețineți că doar câteva persoane selectate ar trebui să se poată conecta la site-ul web folosind FTP. Dacă lucrați cu alții și aceștia nu au un motiv să acceseze sau să editeze direct fișierele de bază, nu ar trebui să aibă acces la acreditările dvs. FTP.

24. Asigurați-vă fișierul wp-config.php

Fișierul wp-config.php conține informații critice despre site-ul dvs. web, inclusiv detalii despre baza de date. În mod implicit, fișierul se află în directorul rădăcină WordPress.

Cel mai simplu mod de a securiza fișierul este să-l mutați direct în afara directorului rădăcină . Dacă WordPress nu poate găsi wp-config.php unde se află de obicei, îl va căuta într-un director deasupra locației sale obișnuite.

O altă opțiune este să configurați permisiunile fișierului pentru a restricționa accesul oricui în afară de administrator (acesta ești tu). Pentru a face acest lucru, va trebui să înțelegeți cum funcționează permisiunile pentru fișiere în sistemele bazate pe UNIX și să modificați configurația fișierului folosind SFTP.

25. Dezactivați editarea fișierelor pentru a bloca modificările rău intenționate

Doar administratorul ar trebui să aibă permisiunea de a accesa și modifica fișierele de bază WordPress. De obicei, veți putea accesa funcționalitatea de editare a fișierelor din tabloul de bord. Aceasta înseamnă că puteți edita direct fișierele de bază, plugin și teme fără a părăsi administratorul WordPress.

În funcție de nivelul de permisiuni pe care îl au utilizatorii, aceștia ar putea fi capabili să acceseze editorul de fișiere. Cel mai bun mod de a preveni acest lucru este de a dezactiva complet editarea fișierelor.

Pentru a implementa această măsură de siguranță, deschideți fișierul wp-config.php și adăugați următoarea linie de cod înainte de sfârșit:

 define('DISALLOW_FILE_EDIT', true);

Salvați modificările aduse fișierului și închideți-l. Rețineți că veți putea în continuare să editați fișiere, dar va trebui să utilizați SFTP pentru a face acest lucru, care este o opțiune mai bună (și mai sigură) decât utilizarea editorului de fișiere WordPress.

26. Dezactivați execuția fișierului PHP

Dezactivarea execuției fișierelor PHP în anumite directoare ale site-ului dvs. WordPress este o măsură de securitate care ajută la prevenirea rulării scripturilor rău intenționate. Dacă un atacator reușește să încarce un script PHP pe site-ul dvs. web, ar putea să îl execute pentru a obține acces neautorizat, pentru a manipula date sau pentru a distribui malware.

Puteți dezactiva execuția fișierelor PHP în directoare specifice conectându-vă la WordPress prin FTP și navigând la folderul rădăcină . În interior, puteți selecta ce directoare doriți să protejați și să creați noi fișiere .htaccess în fiecare dintre ele.

Iată codul pe care trebuie să îl adăugați la acele fișiere:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Rețineți că dezactivarea execuției PHP la nivel de director rădăcină ar putea afecta funcționalitatea WordPress. La urma urmei, întregul CMS este construit pe baza PHP. Aceasta înseamnă că este mai bine să-l dezactivați pentru foldere individuale, cum ar fi directorul fișierelor media.

27. Dezactivați raportarea erorilor PHP

Afișarea publică a erorilor poate expune atacatorilor potențialele vulnerabilități din site-ul dvs. WordPress. Mesajele de eroare PHP pot include informații sensibile, cum ar fi căile fișierelor, detaliile structurii bazei de date sau alte date care pot fi utilizate pentru exploatarea site-ului dvs.

WordPress vă permite să dezactivați raportarea erorilor PHP prin modificarea fișierului wp-config.php . Puteți adăuga următorul cod la fișier pentru a dezactiva modul de depanare WordPress și a ascunde erorile de pe front-end:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Adăugați acel cod înainte de sfârșitul fișierului wp-config.php și asigurați-vă că aveți o copie de rezervă recentă a site-ului dvs. WordPress înainte de a-l salva. Rețineți că raportarea erorilor poate fi uneori utilă pentru depanare, așa că poate fi necesar să reactivați această funcție la un moment dat.

28. Dezactivează navigarea în directoare pe site-ul tău web

Navigarea în director este o caracteristică care permite vizitatorilor să acceseze adrese URL precum site-ul tău.com/wp-content și să vadă conținutul acelui director. Dacă este activată navigarea în directoare, utilizatorii vor putea vedea liste de foldere și fișiere interne și chiar să le acceseze în funcție de permisiunile lor.

Din punct de vedere al securității, este logic să dezactivați navigarea în directoare. Multe gazde web WordPress fac acest lucru în mod implicit. Dacă al dvs. nu, puteți dezactiva navigarea în directoare adăugând următorul cod în fișierul dvs. .htaccess :

 Options -Indexes

Aceasta este o schimbare simplă, deci nu ar trebui să dureze mult pentru implementare. Ulterior, dacă utilizatorii încearcă să viziteze un director, vor vedea în schimb un simplu mesaj de eroare.

29. Ascundeți versiunea dvs. WordPress

În mod implicit, versiunea curentă de WordPress pe care o utilizați este listată în codul sursă. Dacă cineva știe ce versiune de WordPress utilizați (și este una învechită), poate analiza vulnerabilități specifice pentru acea versiune, făcând mai ușor să vă încălcați site-ul.

Pentru a ascunde versiunea WordPress, puteți adăuga acest cod în fișierul functions.php :

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Evitați CAPTCHA pentru protecția împotriva spamului

CAPTCHA este o soluție decentă pentru protejarea site-urilor web și formularelor împotriva spam-ului, dar nu este fără probleme.

Utilizarea CAPTCHA pe site-ul dvs. adaugă un strat de complicații care poate enerva și respinge vizitatorii legitimi și chiar poate fi imposibil de rezolvat, în special pentru cei cu deficiențe.

Evoluțiile recente ale vectorilor de atac au făcut, de asemenea, CAPTCHA-urile mai puțin eficiente. Dacă vă pasă de prevenirea spam-ului (care poate duce la o încălcare a securității), dar doriți și să maximizați ratele de conversie printr-o experiență optimă a utilizatorului, este timpul să luați în considerare alternative.

Akismet este o soluție all-in-one de protecție împotriva spamului pentru WordPress, care funcționează complet în fundal. Pluginul WordPress vă ajută să blocați spam-ul utilizând baza de date cu actori rău intenționați cunoscuți și prin identificarea și blocarea anumitor cuvinte și adrese URL din comentariile de pe site-ul dvs. Face toate acestea în mod automat, fără ca vizitatorii să fie nevoiți să folosească CAPTCHA pentru a verifica dacă sunt oameni.

Întrebări frecvente despre securitatea WordPress

Dacă mai aveți întrebări despre cum să vă protejați site-ul WordPress, această secțiune vă va răspunde.

Care sunt beneficiile de a avea o listă de verificare a securității WordPress?

Având acces la o listă de verificare a securității WordPress, vă va ajuta să determinați ce măsuri ați luat pentru a vă proteja site-ul și ce mai rămâne de făcut. Lista de verificare este o resursă simplă la care te poți referi în orice moment pentru a vedea ce măsuri de securitate poți implementa în WordPress.

Care este cel mai rapid mod de a-mi îmbunătăți securitatea WordPress?

Cel mai rapid mod de a vă proteja site-ul WordPress este folosirea pluginurilor de securitate WordPress. În funcție de pluginul pe care îl utilizați, veți avea acces la funcții precum 2FA, jurnalele de activitate, instrumentele de backup și scanarea programelor malware. Jetpack Security include toate aceste caracteristici.

Cum îmi pot scana site-ul WordPress pentru malware și vulnerabilități?

Puteți utiliza un plugin precum Jetpack Security pentru a vă scana site-ul WordPress pentru malware. Acest instrument va evidenția, de asemenea, eventualele vulnerabilități ale site-ului dvs. Apoi, puteți lua măsurile necesare pentru a elimina aceste probleme.

Dacă nu aveți nevoie de un plugin cuprinzător de securitate WordPress, puteți, de asemenea, să obțineți scanarea malware printr-un plugin WordPress independent, cum ar fi Jetpack Protect.

Care este cea mai fiabilă modalitate de a face copii de rezervă și de a restaura site-ul meu WordPress?

Cea mai bună opțiune este să utilizați o soluție automată, astfel încât să nu aveți nevoie să creați copii de rezervă manual. De asemenea, pluginul ar trebui să salveze copii pe o soluție de stocare în afara site-ului pentru a evita problemele dacă serverul dvs. este compromis.

Pluginul Jetpack VaultPress Backup oferă copii de rezervă în timp real. De asemenea, face copii sigure ale site-ului dvs. WordPress pe cloud. De asemenea, puteți accesa VaultPress Backup împreună cu o serie de alte funcții ca parte a Jetpack Security.

Jetpack Security: Pluginul de securitate numărul 1 pentru WordPress

Jetpack Security oferă o colecție de caracteristici de securitate care vă vor proteja site-ul WordPress. Cu acest plugin, puteți tăia mai multe elemente din lista de verificare a securității WordPress.

De exemplu, aveți acces la o soluție de rezervă, scanarea programelor malware și eliminarea cu un singur clic, protecție împotriva spamului, jurnalele de activitate, autentificarea cu doi factori și multe altele. Acest lucru face din Jetpack unul dintre cele mai cuprinzătoare instrumente de securitate pe care le puteți utiliza pentru WordPress.

Ești gata să sporești securitatea site-ului tău? Începeți cu securitatea Jetpack astăzi!