Cea mai bună listă de verificare a securității WordPress [Ghid final]

Publicat: 2022-04-22

Dacă doriți să vă securizați site-ul WordPress, veți găsi o mulțime de sfaturi online, dintre care unele sunt bune, iar altele de-a dreptul dăunătoare, deși bine intenționate.

Când vine vorba de securitatea WordPress, trebuie să poți avea încredere în sursele tale și să găsești informații care nu sunt doar credibile, ci și fezabile și aplicabile. Numai în 2020, atacurile malware au crescut cu peste 150%, iar cifrele nu par să încetinească prea curând. Prin urmare, securizarea site-ului dvs. WordPress trebuie să fie prioritatea dvs. numărul unu.

Cel mai bun mod de a vă securiza site-ul WordPress este să instalați un plugin de securitate și să îl lăsați să se ocupe de sarcinile grele. Dar chiar și fără unul, vă puteți securiza site-ul într-o mare măsură urmând lista de verificare a securității WordPress discutată mai jos.

TL;DR: Asigurați-vă site-ul WordPress cu MalCare și evitați întreținerea regulată legată de securitate. Securitatea WordPress este un labirint de lacune pe care trebuie să le corectați. Consultați lista noastră de verificare a securității WordPress pentru a vă asigura că nu pierdeți nimic crucial.

Conținutul ascunde
1 Cea mai simplă metodă de a vă securiza site-ul WordPress
2 Lista de verificare a securității WordPress supremă
2.1 Pentru securitatea de zi cu zi
2.2 Pentru securitate lunară
2.3 Pentru securitate pe termen lung
2.4 Măsuri unice pentru securitate completă
3 De ce este importantă securitatea site-ului web
4 Gânduri finale

Cea mai simplă metodă de a vă securiza site-ul WordPress

După cum am spus, cel mai bun mod de a vă securiza site-ul WordPress este să utilizați un plugin de securitate, în special, MalCare. MalCare nu numai că se ocupă automat de lista de verificare a securității WordPress, ci o face fără să vă faceți griji să țineți evidența fiecărui mic detaliu.

MalCare are mai multe funcții care funcționează împreună pentru a vă menține site-ul în siguranță. Dar primele trei caracteristici ale sale asigură că site-ul dvs. rămâne fără malware - scanare, firewall și curățări. Cu MalCare, puteți programa scanări automate pe site-ul dvs. WordPress și puteți primi alerte dacă este detectat ceva suspect. De asemenea, MalCare vă protejează site-ul cu un firewall inteligent care ține departe majoritatea atacurilor. Și, cel mai important, dacă site-ul dvs. ar fi piratat - dat fiind că niciun site nu poate fi sigur, MalCare vă curăță site-ul în câteva minute cu un singur clic pe buton.

Un alt motiv pentru care ar trebui să optați pentru MalCare, este că, cu măsuri de securitate manuale, există întotdeauna șansa de eroare umană. Dar erorile de securitate vă pot cauza mai mult decât câțiva dolari. Dacă hack-urile se înrăutățesc, pot duce la furtul de date, la deformarea site-ului web, la pierderea clienților și, cel mai important, la pierderea încrederii de care suferă afacerea dvs.

Lista de verificare a securității WordPress supremă

Există atât de multe elemente într-un site WordPress încât urmărirea tuturor lucrurilor poate deveni copleșitoare. Am compilat o listă de verificare a securității WordPress pentru dvs., pe baza frecvenței de timp de care aveți nevoie pentru a vă ocupa de sarcină.

Pentru securitatea de zi cu zi

Securitatea site-ului web este un proces constant și nu poate fi un angajament unic. Dar există modalități prin care poți automatiza sarcinile zilnice. Aceste sarcini asigură că site-ul dvs. este protejat de orice probleme sau amenințări neprevăzute.

Scanați-vă site-ul

Este important să vă scanați site-ul pentru malware în fiecare zi. Un site web este spart la fiecare 38 de secunde pe internet și există șanse mari ca dvs. să fiți unul dintre ei. Scanarea periodică a site-ului vă asigură că sunteți primul care știe despre orice amenințări sau programe malware de pe site și vă ajută să luați măsuri înainte ca atacatorul să poată cauza orice daune site-ului dvs.

scanarea site-ului piratat

Dacă scanarea manuală a site-ului dvs. în fiecare zi vi se pare obositoare, puteți opta pentru o soluție de securitate precum MalCare, care vă permite să programați zilnic scanări automate, astfel încât să nu vă faceți griji că pierdeți o scanare sau că trebuie să le executați personal. .

Faceți backup pentru site-ul dvs

Există mai multe motive pentru care ar trebui să faci backup pentru site-ul tău WordPress, dar cel mai important dintre ele este securitatea. Dacă nu este detectat la timp, malware-ul poate provoca ravagii site-ului dvs. WordPress și, în consecință, poate duce la pierderea de date sau la deformarea site-ului. Adesea, gazdele web șterg site-urile de pe serverele lor dacă sunt infectate și, dacă nu aveți o copie de rezervă independentă a site-ului dvs., va trebui să începeți de la zero.

Este important să faceți backup pentru site-urile web de mare valoare în fiecare zi, astfel încât să nu se piardă nimic important. Acest lucru este valabil mai ales pentru site-urile WooCommerce care au nevoie de copii de rezervă în timp real. O soluție la îndemână precum BlogVault poate face acest proces foarte ușor. BlogVault vă permite să programați copii de rezervă zilnic sau în timp real, în funcție de cerințele dvs. și stochează aceste copii de siguranță pe un server extern, astfel încât, chiar dacă serverul site-ului dvs. este piratat, copiile de siguranță rămân în continuare securizate.

Pentru securitate lunară

Verificați jurnalul de activitate

Hackurile și instalarea de programe malware, adware sau alte tipuri de programe rău intenționate apar de obicei în secret. Adesea, singura urmă vizibilă poate fi găsită în jurnalul de activitate al site-ului dvs., o înregistrare cronologică a activităților efectuate și a modificărilor efectuate. Prin urmare, este o idee bună să efectuați o verificare lunară a jurnalului de activitate al site-ului dvs. pentru a căuta eventuale inconsecvențe sau activități suspecte. Vă poate ajuta să urmăriți o serie de detalii importante în cazul în care site-ul dvs. este spart, cum ar fi ce adrese IP au fost implicate și cum s-ar fi putut întâmpla.

Dacă al dvs. este un site cu producție mare, adică publicați conținut zilnic sau săptămânal, verificarea jurnalului de activitate o dată pe lună poate deveni copleșitoare, deoarece există o mulțime de modificări pe site. În acest caz, puteți verifica jurnalul de activitate o dată pe săptămână sau o dată la două săptămâni.

WordPress nu oferă un jurnal de activitate în mod implicit, așa că va trebui să vă bazați pe un plugin pentru acesta. În mod alternativ, MalCare vă oferă un jurnal de activitate detaliat și ușor de înțeles, împreună cu securitatea WordPress completă.

Actualizați-vă site-ul

În mod ideal, ar trebui să vă actualizați site-ul WordPress de îndată ce sunt lansate noi actualizări, dar și efectuarea de actualizări lunare funcționează. Respectând un program lunar de actualizare, puteți fi sigur că site-ul dvs. este bine protejat și că orice vulnerabilități noi sunt corectate.

Actualizările sunt adesea înfricoșătoare, deoarece se știe că defectează site-urile. Dar dacă utilizați un plugin precum BlogVault, vă puteți testa actualizările pe un site de pregătire și puteți îmbina modificările fără probleme cu site-ul dvs. live.

Verificați Search Console

Adăugarea site-ului dvs. WordPress la Google Search Console are o serie de beneficii legate de SEO, dar poate ajuta și la securitatea site-ului dvs. Google Search Console are o filă Probleme de securitate care semnalează orice malware pe care îl detectează pe site-ul dvs., așa că verificarea din când în când vă poate ajuta să detectați malware.

Dacă vă scanați site-ul cu MalCare în mod regulat, veți fi detectat deja malware-ul de pe site. Dar este totuși o practică bună să vedeți dacă Google consideră că există vreo activitate suspectă în desfășurare pe site-ul dvs.

Eliminați temele și pluginurile neutilizate

Eliminarea temelor și pluginurilor vechi și neutilizate are două scopuri. Primul este să vă accelerați site-ul, deoarece prea multe fișiere pot cauza balonare și încetinirea serverului. Al doilea este să vă asigurați că site-ul dvs. nu poate fi atacat prin intermediul acestora. Temele și pluginurile neutilizate sunt adesea ignorate și nu sunt actualizate, creând vulnerabilități de care pot fi profitate cu ușurință. Așa că asigurați-vă că efectuați o verificare lunară a tuturor temelor și pluginurilor pe care le utilizați și le eliminați pe cele care și-au îndeplinit scopul.

Notă: verificați, de asemenea, dacă există pluginuri false pe site-ul dvs. Programele malware sunt adesea ascunse ca folder de pluginuri, dar pluginurile false au doar unul sau două fișiere, nu pot fi localizate în depozitul WordPress și au nume ciudate precum „azzz” sau „tiff”.

Actualizați-vă acreditările

Folosirea acelorași acreditări prea mult timp sau reutilizarea lor în mai multe conturi reprezintă un risc major. Pentru a vă proteja site-ul WordPress, actualizați-vă parolele cel puțin o dată pe lună. Acest lucru vă asigură că orice hacker care ar putea să vă fi obținut parola nu o poate folosi și, de asemenea, vă deconectează din contul dvs. pe toate dispozitivele. Deși este ușor incomod, vă asigură că puteți controla accesul la site-ul dvs. web.

Verificați rolurile și privilegiile utilizatorilor

Conturile de utilizator de pe site-ul dvs. WordPress sunt la fel de importante ca și contul de administrator. Dacă un hacker primește acces la orice cont, vă poate infecta site-ul, își poate îmbunătăți privilegiile de rol și chiar vă poate bloca accesul la propriul site.

Asigurați-vă că fiecare utilizator de pe site are doar privilegiile necesare, iar conturile de utilizator vechi sunt șterse. De asemenea, verificați dacă privilegiile utilizatorului au fost escalate fără autorizația dvs., ar putea fi un semn de malware.

Blocați IP-uri rău intenționate

Blocarea sau restricționarea IP-urilor rău intenționate vă poate face viața mult mai ușoară. Dacă sunteți piratat, puteți urmări adresa IP de la care se întâmplă și pur și simplu o puteți bloca. Acest lucru împiedică oricine cu acea adresă IP să vă acceseze site-ul. Această metodă este folosită pentru a combate hackerii, a opri roboții sau trolii și pentru a împiedica utilizatorii neautorizați. Dacă utilizați un firewall, acesta va bloca automat IP-urile rău intenționate pentru dvs.

De asemenea, poți bloca o întreagă zonă geografică, dacă te confrunți cu atacuri repetate din regiune.

Testează-ți copiile de rezervă

Dacă ar trebui să se întâmple ceea ce este mai rău și site-ul dvs. WordPress se defectează, vă puteți baza pe copiile de rezervă pentru a-l reporni. Dar trebuie să vă asigurați că și copiile de rezervă sunt în siguranță. În cazul în care copiile de rezervă au fost deja piratate, restaurarea lor va fi inutilă. În mod similar, trebuie să testați dacă sunt funcționale, altfel veți restaura un site stricat. Puteți testa backup-urile cu ușurință dacă utilizați BlogVault și vă puteți asigura că sunt de încredere.

Actualizați sărurile WordPress

WordPress folosește săruri ca parte a procesului său de criptare. O sare este un șir aleatoriu de caractere care este adăugat la o parolă înainte de criptare. Șirul rezultat este un hash și acesta este ceea ce este stocat în baza de date. În acest fel, dacă un hacker este capabil să scoată parolele hashing din baza de date ȘI să le decripteze, încă nu știe ce parte a parolei este de fapt parola și care este sarea. Singurul mod în care ar ști acest lucru este dacă au acces la sărurile și cheile de securitate din fișierul de configurare.

Este similar cu modul în care parolele sunt stocate în cookie-urile browserului. Motivul pentru care puteți rămâne conectat la orice site este că informațiile despre sesiune sunt stocate în cookie-uri. Dar dacă parolele cu text simplu ar fi stocate acolo, ar fi periculos. Deci, WordPress stochează versiunea sărată și hashed în schimb. A avea acces la sare nu înseamnă că poți decripta hashe-urile, dar reduce nivelul de securitate. Prin urmare, este important să vă actualizați periodic sărurile WordPress.

Pentru securitate pe termen lung

Verificați SSL

SSL este un protocol de securitate conceput pentru a cripta orice comunicare către și de la serverul site-ului dvs. web. Acest lucru împiedică atacatorii să acceseze, să citească sau să modifice orice informații care sunt transferate.

De obicei, vă securizați site-ul cu SSL atunci când obțineți domeniul sau planul de găzduire. Cu toate acestea, certificatele SSL expiră aproximativ la fiecare doi ani și trebuie să vă asigurați că sunt reînnoite cel mai devreme. Acest lucru este de două ori important dacă utilizatorii efectuează tranzacții pe site-ul dvs., deoarece orice încălcare a securității poate duce la scurgerea detaliilor cardului de credit sau a contului bancar.

Verificați planurile de găzduire

Dacă uitați să vă reînnoiți planul de găzduire la timp, contul dvs. WordPress va fi suspendat. Acest lucru poate cauza o serie de probleme. Traficul pe site-ul dvs. va fi afectat, veți pierde clienți și s-ar putea chiar să pierdeți date. Verificarea periodică a serviciilor de găzduire vă permite, de asemenea, să analizați traficul site-ului și utilizarea serverului. Utilizarea excesivă a serverului este un simptom comun al unui atac cu forță brută, iar capturarea unor astfel de atacuri mai devreme are o șansă mai mare de a le opri. Când sunteți alertat devreme cu privire la un atac cu forță brută, puteți acționa și vă asigura site-ul înainte ca hackerii să obțină acces la site-ul dvs.

Măsuri unice pentru securitate deplină

În timp ce securitatea WordPress trebuie revizuită în mod constant, există unele măsuri pe care le puteți lua o dată și nu trebuie să actualizați constant.

Investește într-un firewall puternic

Un firewall vă protejează site-ul WordPress prin filtrarea traficului rău intenționat și oprirea majorității atacurilor înainte ca acestea să vă poată infecta site-ul. Există mai multe tipuri de firewall-uri, cum ar fi firewall-uri pentru aplicații web, firewall-uri de rețea sau firewall-uri bazate pe cloud. Un firewall puternic pentru aplicații web, cum ar fi cel de la MalCare, vă permite să filtrați traficul site-ului dvs. și să blocați vizitatorii după numărul de încercări de conectare sau locația geografică.

Implementați autentificarea HTTP

Autentificarea HTTP este un protocol care permite accesul la o resursă web numai celor care trebuie să o acceseze. Autentificarea HTTP restricționează accesul solicitând un nume de utilizator și o parolă atunci când este solicitată o anumită pagină web. Acum, evident, nu puteți face acest lucru pentru întregul site web, dar implementarea acestuia pentru tabloul de bord sau pagina de autentificare poate reduce semnificativ numărul de atacuri bot.

Utilizați autentificarea cu doi factori

Autentificarea cu doi factori este o metodă care necesită ca utilizatorul să prezinte două chei separate pentru a accesa un cont. De exemplu, dacă încercați să vă accesați e-mailul, de obicei trebuie să furnizați numele de utilizator și parola, dar atunci când implementați autentificarea cu doi factori, va trebui să furnizați și o cheie care este creată în timp real, cum ar fi una -parolă de timp sau PIN. Acest lucru reduce numărul de încercări de conectare și nu copleșește serverul site-ului dvs. web cu solicitări de conectare. De asemenea, vă protejează site-ul web împotriva atacurilor cu forță brută. Puteți utiliza un plugin precum 2FA pentru a activa autentificarea cu doi factori pentru site-ul dvs.

Limitați încercările de conectare

Am vorbit deja despre modul în care încercările de conectare trebuie limitate. WordPress, în mod implicit, permite încercări de conectare nelimitate, iar acest lucru oferă hackerilor o oportunitate bună de a încerca să vă acceseze contul WordPress cu atacuri de forță brută. Cel mai simplu mod de a limita încercările de autentificare este să utilizați un plugin de securitate precum MalCare sau puteți adăuga cod personalizat la fișierul dumneavoastră function.php.

Dezactivați XML-RPC

Similar cu WP REST API, XML-RPC este o caracteristică WordPress care vă permite să publicați conținut de la distanță. Este util dacă utilizați aplicația WordPress sau trebuie să activați trackback-urile și pingback-urile, dar în caz contrar, poate fi exploatat de hackeri pentru a obține acces la site-ul dvs. prin atacuri de forță brută. Cea mai ușoară soluție aici este să o dezactivați cu un plugin sau manual.

Dezactivați navigarea prin director

Când serverul dvs. nu găsește un fișier index pentru un site web, acesta arată un index al conținutului directorului. Dacă un hacker poate accesa aceste informații, poate verifica dacă aveți fișiere care sunt vulnerabile pe site-ul dvs. Acest lucru vă deschide site-ul web la riscuri majore de securitate.

Pentru a evita acest lucru, puteți dezactiva navigarea în directoare adăugând o linie de cod în fișierul dvs. .htaccess. Urmați acești pași pentru a dezactiva navigarea în directoare pe site-ul dvs. WordPress.

  • Descărcați fișierul .htaccess de pe site-ul dvs. printr-un client FTP.
  • Deschideți fișierul și adăugați următorul cod în partea de jos a fișierului:

Opțiuni Toate -Indici

  • Acum salvați fișierul și reîncărcați-l. Mai întâi va trebui să ștergeți fișierul original de pe site-ul dvs.

Restricționați permisiunile fișierelor

Permisiunile pentru fișiere de pe site-ul dvs. determină cine poate accesa ce părți ale site-ului dvs. și cine le poate modifica. De obicei, gazda dvs. web configurează toate aceste informații pentru dvs. Dar este încă o practică bună să înțelegeți permisiunile fișierelor și să vă asigurați că acestea sunt configurate optim.

Dacă doriți să înțelegeți cum funcționează permisiunile de fișiere și cum le puteți optimiza pentru securitatea site-ului dvs., parcurgeți ghidul nostru detaliat și ușor de utilizat pentru începători.

Ascunde fișierul wp-config

Fișierul wp-config de pe site-ul dvs. este plin de informații sensibile, cum ar fi parole, chei și săruri. Dacă hackerii obțin acces la fișier, va fi ca și cum ar fi aruncat un covor roșu pe site pentru ei. Fișierul wp-config se află în folderul public_html în mod implicit, astfel încât hackerii știu unde să-l caute. Dar puteți schimba locația fișierului și încă funcționează la fel de bine, ascunzând în același timp informațiile sensibile în mod eficient.

Dezactivarea execuției PHP în foldere specifice

Hackerii pot încărca fișiere PHP pe site-ul dvs. deghizat în fișiere WordPress de bază și pot obține acces la site-ul dvs. Unele foldere precum wp-uploads nu ar trebui să aibă deloc fișiere PHP. Deci ce faci in acest caz?

Puteți dezactiva execuția PHP în aceste foldere, astfel încât, chiar dacă hackerii reușesc să intre în aceste fișiere prin orice ușă din spate, ei să nu aibă acces la site-ul dvs.

Lista de verificare a securității WordPress

De ce este importantă securitatea site-ului web

WordPress este o platformă sigură, dar este foarte populară și atrage tot felul de atenție. Unele dintre ele sunt nefaste. Pentru a vă asigura că hackerii nu pot avea acces la site-ul dvs., trebuie să vă asigurați că securitatea site-ului dvs. este actualizată, altfel vă puteți confrunta cu consecințe grave, cum ar fi:

  • Pierderea clienților
  • Pierdere de date
  • Scurgeri de acreditări private
  • Pierdere de venituri
  • Probleme legale
  • A lovit reputația mărcii
  • Pierderea încrederii

Gânduri finale

Securitatea WordPress nu este un mister. Dacă luați câțiva pași pentru a vă securiza site-ul, veți putea evita atacurile și programele malware și veți putea evita orice daune. Sperăm că această listă de verificare a securității WordPress vă ajută să vă înăspriți măsurile de securitate.

Dacă doriți o soluție fără probleme care să nu compromită securitatea dvs., MalCare este singura opțiune. Cu scanări automate, un firewall avansat și curățări cu un singur clic, MalCare este o soluție la 360 de grade care vă protejează site-ul.

Întrebări frecvente

Cum îmi securizez site-ul WordPress?

Cea mai ușoară metodă de a vă securiza site-ul WordPress este să instalați un plugin de securitate precum MalCare. MalCare vă scanează site-ul web în fiecare zi pentru a se asigura că site-ul dvs. este în siguranță și vă protejează site-ul cu firewall-ul său avansat. De asemenea, oferă o curățare cu un singur clic în cazul în care există un hack.

WordPress are probleme de securitate?

WordPress este o platformă sigură folosită de peste jumătate dintre site-urile web de pe internet. Cu toate acestea, din cauza acestei popularități atrage atenția hackerilor. Vă puteți securiza site-ul WordPress cu un plugin de securitate pentru a vă asigura că site-ul dvs. este protejat de aceste elemente.

Cum îmi securizez site-ul WordPress fără pluginuri?

Dacă doriți să vă securizați site-ul fără a utiliza pluginuri, trebuie să efectuați mai multe verificări de securitate în mod regulat. Va trebui să efectuați scanări ale site-ului, să faceți copii de siguranță, să căutați comportamente suspecte în jurnalul de activitate al site-ului și să curățați manual orice malware pe care îl puteți detecta. Lista modalităților prin care hackerii pot intra pe site-ul dvs. este nesfârșită și singura modalitate prin care vă puteți securiza site-ul fără a fi nevoie să fiți în permanență în alertă este să utilizați un plugin de securitate.