Top 28 de cele mai bune practici și sfaturi de securitate WordPress

Publicat: 2024-01-05

WordPress este un sistem puternic de management al conținutului (CMS), dar popularitatea sa înseamnă atenție egală ca țintă în rândul hackerilor. Fără măsurile de securitate necesare, site-ul dvs. poate fi vulnerabil la atacuri.

Din fericire, există mai multe lucruri pe care le puteți face pentru a vă păstra site-ul în siguranță. Aceasta variază de la sarcini simple, cum ar fi actualizarea pluginurilor și efectuarea de copii de siguranță, până la strategii mai implicate, cum ar fi migrarea la un furnizor de găzduire cu măsuri de securitate mai puternice.

În acest articol, vă vom ghida prin cele mai bune practici de securitate WordPress 28 pentru a vă ajuta să vă asigurați că site-ul dvs. este protejat.

1. Țineți WordPress, pluginurile și temele actualizate

Software-ul învechit reprezintă o amenințare imensă pentru site-uri web. Când un plugin sau o temă nu a fost actualizată de luni sau ani, hackerii vor fi avut mai mult timp să caute vulnerabilități în software și să găsească o cale de acces la site-urile care îl folosesc.

Mai simplu spus: dacă utilizați o versiune mai veche de WordPress, site-ul dvs. este vulnerabil la atacuri. Acest lucru se aplică și oricăror pluginuri sau teme de pe site-ul dvs.

Este important să rețineți că WordPress este uluitor de popular. Acesta alimentează aproximativ 43% din toate site-urile web cunoscute. Asta înseamnă că un singur plugin cu o problemă de securitate poate duce la sute sau mii de site-uri cu ușa deschisă pentru infractorii cibernetici.

Cel mai simplu mod de a vă proteja împotriva acestor vulnerabilități este să păstrați WordPress și toate componentele sale la zi. Acest lucru poate fi la fel de simplu ca să verificați tabloul de bord în fiecare zi pentru a vedea ce actualizări sunt disponibile și să le executați.

actualizări disponibile în tabloul de bord WordPress

În cazul pluginurilor, le puteți configura să se actualizeze automat, unul câte unul. Pentru a face acest lucru, accesați Pluginuri → Pluginuri instalate și faceți clic pe Activați actualizările automate pentru pluginurile pe care doriți să le actualizați automat.

activarea actualizărilor automate în WordPress

2. Schimbați numele de utilizator implicit „admin”.

Una dintre cele mai mari greșeli de securitate pe care le pot face utilizatorii WordPress este alegerea unui nume de utilizator precum „admin” sau „administrator”. Acestea sunt numele de utilizator implicite pe care WordPress le stabilește pentru tine, iar menținerea lor în loc facilitează atacatorii să-și forțeze intrarea.

Mulți hackeri încearcă să pătrundă într-un site web încercând cât mai multe combinații de nume de utilizator și parole. Acest lucru se numește atac cu forță brută. Dacă cineva știe deja numele tău de utilizator, înseamnă că trebuie să ghicească doar un factor de conectare.

WordPress nu vă permite să schimbați numele de utilizator pentru contul de administrator odată ce îl setați. Pentru a face o modificare, va trebui să creați un cont nou, să îi acordați rolul de utilizator Administrator și să îl ștergeți pe cel vechi.

Puteți face acest lucru accesând Utilizatori → Adăugați nou . Apoi, introduceți detaliile contului, inclusiv un nume de utilizator greu de ghicit și alegeți Administrator din meniul Rol .

resetarea parolei în WordPress

Data viitoare când creați un site web WordPress, va trebui să setați numele de utilizator al administratorului la ceva diferit. Această modificare simplă va îngreuna accesul atacatorilor la contul.

3. Folosiți parole puternice și schimbați-le în mod regulat

Dacă utilizați o parolă simplă, cum ar fi „1234” sau aveți aceeași parolă pentru fiecare cont, este doar o chestiune de timp până când cineva obține acces la site-ul dvs.

Deși există modalități de a recâștiga accesul la conturile furate, procesul poate fi anevoios. În plus, un hacker ar putea aduce prejudicii ireparabile conținutului și reputației tale.

Când creați un cont nou în WordPress, CMS-ul va genera o parolă puternică pentru dvs. Aceasta este de obicei o combinație de litere, cifre și caractere speciale.

Puteți folosi această parolă sau o puteți schimba cu ceva mai memorabil (în timp ce păstrați un amestec de litere și cifre).

crearea unei parole puternice în WordPress

Puteți chiar să utilizați un manager de acreditări dacă aveți probleme în a vă aminti. Managerii de parole vă pot ajuta să generați parole sigure pentru toate conturile dvs. și să le păstrați în siguranță.

Pentru securitate sporită, veți dori să vă schimbați parolele periodic. În acest fel, dacă există o scurgere de acreditări, contul dvs. va fi în siguranță.

4. Implementați autentificarea cu doi factori (2FA)

La fel ca multe alte site-uri web, WordPress necesită un nume de utilizator și o parolă pentru a vă conecta. Aceasta înseamnă că securitatea autentificărilor depinde în mare măsură de cât de puternice sunt acreditările dumneavoastră.

Ecran de conectare WordPress

Chiar și cu cea mai puternică parolă, există șansa ca cineva să obțină acces la contul tău sau la alții de pe site-ul tău. O modalitate eficientă de a evita această încălcare este utilizarea autentificării cu doi factori (2FA).

Când activați 2FA, site-ul dvs. va necesita o metodă suplimentară de verificare pentru ca utilizatorii să se conecteze. De obicei, acesta este un cod unic trimis prin SMS, e-mail sau o aplicație de autentificare.

Deoarece hackerii nu au acces la dispozitivul tău mobil sau la e-mailuri, ei nu se vor putea conecta la contul tău. Unele site-uri web oferă opțiunea de a utiliza 2FA, în timp ce altele îl impun.

Dacă utilizați Jetpack, puteți permite utilizatorilor să se conecteze cu conturile lor WordPress.com. Există, de asemenea, o opțiune pentru utilizarea funcționalității 2FA a WordPress.com.

activarea autentificării cu doi factori în WordPress.com

Puteți găsi aceste setări navigând la Jetpack → Setări și găsind secțiunea de conectare WordPress.com . Apoi, pur și simplu comutați comutatorul corespunzător.

5. Utilizați criptarea HTTPS printr-un certificat SSL

Un certificat SSL (Secure Sockets Layer) permite site-ului dvs. să se încarce prin HTTPS, care este versiunea securizată a HTTP. Certificatul verifică dacă site-ul dvs. este autentic și că comunicarea dintre browser și server este criptată.

Puteți obține un certificat SSL gratuit de la mai multe autorități, cum ar fi Let's Encrypt. Multe gazde web WordPress vor configura automat un certificat SSL pentru site-ul dvs. Alte gazde web vă vor permite să configurați manual un certificat prin cPanel.

6. Instalați un plugin de securitate reputat

Pluginurile de securitate WordPress vin adesea cu o colecție de funcții și instrumente care vă ajută să vă protejați site-ul. Acestea includ de obicei:

  • Protectie spam
  • Protecție împotriva atacurilor de tip Denial of Service (DDoS).
  • Un firewall pentru aplicații web (WAF)
  • Scanarea și curățarea programelor malware
  • Backup-uri automate

Puteți găsi pluginuri WordPress individuale care efectuează fiecare dintre aceste sarcini separat. Dar dacă optați pentru un instrument de securitate cuprinzător, veți putea gestiona mai multe funcții din același loc, ceea ce vă poate ușura munca.

De fapt, utilizarea pluginului potrivit vă poate ajuta să bifați mai multe elemente din această listă cu cele mai bune practici de securitate WordPress. Jetpack Security include toate caracteristicile menționate recent și multe altele.

7. Faceți în mod regulat copii de rezervă ale site-ului dvs

Realizarea periodică de copii de rezervă a datelor este probabil cel mai important lucru pe care îl puteți face pentru a le păstra în siguranță. Când vine vorba de site-uri web, o copie de rezervă completă poate salva viața în cazul unei breșe de securitate sau al unei defecțiuni.

Dacă site-ul dvs. este piratat sau încetează să funcționeze corect, cel mai simplu mod de a rezolva problema ar putea fi restabilirea unui backup recent. Cu cât backup-ul este mai recent, cu atât este mai puțin probabil să pierdeți orice informație critică.

Odată ce site-ul funcționează din nou corect, puteți lua măsurile necesare pentru a-l proteja de alte atacuri.

Există o mulțime de opțiuni de backup pentru WordPress. Unele gazde web oferă backup automat ca parte a planului dvs. de găzduire (de obicei, dacă este un serviciu gestionat). Cu toate acestea, este mai bine să nu vă bazați exclusiv pe aceste copii de rezervă. Dacă serverul dvs. este compromis - printr-o greșeală de codare, o eroare a gazdei sau un hack - și backup-urile pot fi.

O opțiune mai bună este să utilizați un plugin care stochează copiile de rezervă în afara site-ului. Jetpack VaultPress Backup este o astfel de opțiune. Instrumentul este disponibil ca un plugin individual și ca parte a pachetului Jetpack Security menționat anterior. Acesta face backup automat pentru site-ul dvs. ori de câte ori faceți o modificare.

Pagina principală de rezervă Jetpack VaultPress

Aceste copii de rezervă în timp real sunt ideale dacă adăugați în mod constant conținut nou pe site-ul dvs. web. Înseamnă că veți avea întotdeauna o copie a celei mai recente versiuni. În plus, copiile de rezervă sunt stocate în afara site-ului, astfel încât veți avea întotdeauna acces la ele, chiar dacă site-ul dvs. este complet oprit.

8. Utilizați un firewall pentru aplicații web (WAF)

Un WAF este un tip de firewall care este conceput pentru a filtra traficul către și de la un site web. Folosește reguli pentru a filtra anumite tipuri de trafic și poate bloca IP-urile rău intenționate cunoscute.

WAF-urile sunt concepute pentru a vă ajuta să opriți tipurile obișnuite de atacuri cibernetice, inclusiv injecții SQL, cross-site scripting (XSS) și cross-site request falsificare (CSRF). Sunt capabili să facă acest lucru datorită sistemelor lor complexe de reguli.

Cu cât regulile firewall-ului sunt mai cuprinzătoare, cu atât este mai eficient. O mulțime de pluginuri de securitate (inclusiv Jetpack Security) se laudă cu WAF-uri sofisticate cu seturi de reguli concepute din anii de experiență în tratarea atacurilor WordPress.

Deși puteți configura și configura un WAF manual, cel mai bun pariu este să utilizați fie o gazdă web, fie un plugin de securitate care vă configurează unul. În acest fel, puteți profita de baza lor de date existentă de amenințări și pur și simplu puteți activa firewall-ul.

9. Scanați în mod regulat pentru malware

Scanarea site-ului dvs. pentru malware implică utilizarea unui instrument terță parte sau a unui plugin de securitate. Acest software trece prin fișierele, pluginurile și temele site-ului dvs. pentru a căuta infecții cu malware. Dacă detectează ceva în neregulă, vă va anunța unde este problema.

Pagina principală de scanare Jetpack

Îți amintești când obișnuiai să rulezi scanări antivirus pe computerul tău și ar dura o veșnicie? Acum, majoritatea software-ului antivirus rulează doar în fundal și vă deranjează doar dacă există o problemă. Scanările malware cu Jetpack Security funcționează la fel de perfect.

Și, spre deosebire de alte instrumente care vă spun doar că există o problemă, dacă Jetpack găsește ceva, de obicei va oferi soluții pentru a remedia problema - adesea cu un singur clic.

Dacă luați măsuri pentru a vă securiza site-ul, infecțiile cu malware ar trebui să fie extrem de rare. Chiar și așa, nu strică niciodată să ai scanări automate de malware în cazul în care ești lovit de un exploit zero-day sau de un alt tip de atac greu de oprit.

10. Blocați formularul și comentați spam-ul

Orice site WordPress cu secțiuni sau formulare de comentarii deschise poate întâlni spam. Acest lucru poate varia de la concurenți care postează link-uri către site-urile lor până la atacatori care partajează adrese URL rău intenționate sau încearcă să folosească scripturi pentru a obține acces neautorizat.

Soluția simplă la această problemă este să moderați comentariile pe site-ul dvs. Dar, pe măsură ce site-ul tău crește, filtrarea comentariilor spam poate deveni o muncă cu normă întreagă. Nu este neobișnuit să ai mii de mesaje în așteptare pentru moderare.

Ați putea încerca să utilizați un CAPTCHA pentru a opri trimiterile robot de spam, dar veți enerva inevitabil unii utilizatori și veți diminua implicarea legitimă și conversiile de care site-ul dvs. are nevoie pentru a prospera.

Cea mai bună opțiune este să utilizați Akismet. Acest instrument funcționează complet în fundal pentru a opri trimiterile de spam în comentarii și formulare, astfel încât nici măcar nu observați că se întâmplă. Utilizatorilor legitimi li se permite să continue fără a fi nevoie să rezolve un puzzle, să răspundă la o ghicitoare sau chiar să facă clic pe o casetă.

Toate acestea se întâmplă cu o precizie de 98%.

Akismet este, de asemenea, personalizabil, pentru a șterge imediat anumite comentarii și pentru a păstra altele pentru ca dvs. să le revizuiți manual și să le aprobați sau să respingeți.

Puteți obține Akismet ca propriul plugin, dar dacă vă hotărâți să vă îmbunătățiți securitatea generală și experiența utilizatorului cu cel mai mic efort (și cheltuieli), îl puteți obține și ca parte a planului de securitate Jetpack.

11. Implementați permisiuni securizate pentru fișiere folosind FTP

Fiecare fișier și folder dintr-un sistem bazat pe UNIX are un set de permisiuni. Aceste permisiuni sunt reprezentate de seturi de trei numere. De exemplu, „777” înseamnă că fiecare utilizator are permisiuni complete de scriere, citire și execuție pentru un fișier sau director.

Primul dintre cele trei numere reprezintă cine deține fișierul sau directorul. Al doilea număr reprezintă conturile dintr-un grup de proprietari, iar al treilea pentru fiecare alt utilizator.

În exemplul de mai sus, fiecare șapte înseamnă că fiecare dintre aceste tipuri de utilizatori are permisiuni de citire (patru), scriere (2) și execuție (1). Dacă adunați acele valori, obțineți un șapte.

Permisiunile de fișiere pe care le atribuiți fișierelor și directoarelor WordPress vor guverna cine le poate accesa, citi și edita. Permisiunile de fișiere recomandate pentru WordPress sunt 755 pentru directoare și 644 pentru fișiere.

Pentru a seta aceste permisiuni, va trebui să vă conectați la site-ul dvs. web printr-un instrument de protocol de transfer de fișiere (FTP) precum FileZilla. Puteți obține acreditările dvs. FTP din contul dvs. de găzduire.

După ce vă conectați la site-ul dvs., navigați la directorul rădăcină (acesta este de obicei etichetat public_html ). În acest folder, puteți selecta orice subdirector sau fișier dorit, faceți clic dreapta pe el și alegeți opțiunea care spune Permisiuni de fișiere .

editarea permisiunilor de fișiere în FileZillal

Va apărea o nouă fereastră în care puteți seta permisiunea pentru fișierul sau directorul pe care l-ați selectat prin câmpul Valoare numerică .

permisiuni de editare a fișierelor pentru wp-includes

Dacă modificați permisiunile pentru directoare, veți vedea și o opțiune care spune Recurs în subdirectoare . Acest lucru vă va permite să setați aceleași permisiuni pentru toate subdirectoarele sau fișierele.

Rețineți că există câteva excepții de la regulă atunci când vine vorba de permisiunile optime pentru fișierele WordPress. Unul dintre ele este fișierul wp-config.php , despre care vom discuta în secțiunea următoare.

12. Asigurați-vă fișierul wp-config.php

Fișierul wp-config.php include informații critice despre site-ul dvs. și baza de date. Este unul dintre cele mai importante fișiere de bază WordPress, ceea ce înseamnă că ar trebui să luați pași suplimentari pentru a-l securiza.

În ceea ce privește permisiunile, cel mai bine este să setați wp-config.php fie la 400, fie la 440. Dacă vă amintiți defalcarea din secțiunea anterioară, veți ști că acele valori de permisiuni se traduc în:

  • 400: Numai proprietarul poate citi fișierul.
  • 440: Numai proprietarul și utilizatorii din grupul proprietarului pot citi fișierul.

Acest lucru elimină cu totul permisiunile de scriere din wp-config.php . Aceasta este de obicei o alegere sigură, deoarece împiedică pe cineva să modifice setările fișierului.

Un alt mod în care puteți securiza wp-config.php este să vă mutați cu un nivel deasupra directorului rădăcină. WordPress va căuta fișierul cu un director în sus dacă nu îl poate găsi în locația implicită.

Asta înseamnă că WordPress va funcționa în continuare normal, dar atacatorii ar putea fi păcăliți de faptul că nu pot găsi fișierul.

13. Dezactivează editarea fișierului în fișierul tău wp-config.php

WordPress oferă mai multe opțiuni pentru editarea fișierelor. Una dintre ele este utilizarea pluginurilor și a editorilor de fișiere cu teme, care sunt disponibile din tabloul de bord.

Acești editori de fișiere vă permit să faceți modificări codului site-ului dvs. fără a fi nevoie să vă conectați la acesta prin FTP. Dezavantajul acestei abordări este că, dacă un hacker obține acces la un cont care are permisiunea de a folosi aceste editori, poate face ravagii pe site-ul tău.

Prin urmare, poate doriți să luați în considerare dezactivarea editării fișierelor în WordPress. Puteți face acest lucru deschizând fișierul wp-config.php și adăugând următoarea linie de cod la acesta:

 define('DISALLOW_FILE_EDIT', true);

Rețineți că unele teme și pluginuri vor dezactiva automat editarea fișierelor. Dacă nu vedeți editorii de fișiere sau de teme în tabloul de bord, este probabil să utilizați unul dintre aceste instrumente.

14. Restricționați căutarea în directoare în fișierul dvs. .htaccess

Dacă navigarea în directoare este activată, puteți vizita site-ul dvs. web.com/content/ . În loc să primiți o eroare 403 interzisă, veți vedea o listă a subdirectoarelor și fișierelor din acel folder.

Dezactivarea navigării în directoare este o necesitate dacă doriți să vă protejați site-ul. Dacă cineva poate vedea conținutul folderelor site-ului dvs., poate obține o mulțime de informații, cum ar fi tema și pluginurile pe care le utilizați. De asemenea, vor putea naviga fără restricții în fișierele media, ceea ce este groaznic din punct de vedere al confidențialității.

Majoritatea gazdelor web WordPress dezactivează în mod implicit navigarea în directoare. Dacă al tău nu oferă această caracteristică, o poți activa singur editând fișierul .htaccess din directorul rădăcină .

Pentru a face acest lucru, deschideți fișierul și adăugați următoarea linie de cod:

 Options -Indexes

Salvați modificările și închideți fișierul. Acum, dacă încercați să navigați la un director printr-un browser, veți primi o eroare care vă spune că nu aveți acces la el.

15. Restricționați accesul la directorul wp-admin

wp-admin este locația implicită pentru directorul WordPress. Dacă vizitați pagina de pornire a site-ului dvs. și adăugați /wp-admin la sfârșitul adresei URL, veți ajunge la tabloul de bord WordPress (după ce parcurgeți pagina de conectare).

Această structură este standard pentru site-urile WordPress. Acest lucru face ușor să găsiți și să accesați tabloul de bord, atât pentru dvs., cât și pentru atacatori.

O modalitate de a proteja administratorul WordPress este să-l securizeze cu o parolă. În acest fel, utilizatorii vor trebui să introducă o parolă diferită după ce o fac prin pagina de conectare.

Dacă gazda dvs. web folosește cPanel, puteți adăuga o parolă la directorul wp-admin utilizând Directory Privacy instrument.

găsirea „confidenţialităţii directorului” în cpanel

Odată ce vă aflați în acest instrument, răsfoiți folderele până când găsiți directorul wp-admin . Faceți clic pe EDITARE butonul de lângă acesta, iar în pagina următoare, bifați opțiunea care spune Password protect this directory .

opțiunea de a proteja cu parolă un director

Acum, instrumentul de confidențialitate a directorului vă va cere să setați o parolă pentru wp-admin . După ce salvați parola, încercați să accesați tabloul de bord WordPress. O fereastră pop-up cu parolă ar trebui să apară direct în browser.

16. Ascundeți adresa URL de conectare wp-admin

O altă modalitate de a proteja administratorul WordPress este să schimbi adresa URL care duce la pagina de conectare. Dacă combinați această strategie cu protecția suplimentară prin parolă prezentată în secțiunea de mai sus, niciun atacator nu ar trebui să poată intra în tabloul de bord al site-ului dvs.

Puteți modifica manual URL-ul wp-login , dar utilizarea unui plugin poate simplifica procesul. WPS Hide Login este un instrument simplu care vă permite să setați o nouă adresă URL de conectare fără a fi nevoie să editați codul site-ului dvs.

Plugin WPS Ascundere autentificare

După ce instalați pluginul, accesați Setări → WPS Ascundeți autentificare și căutați secțiunea care spune URL de conectare. Utilizați câmpul de lângă opțiunea respectivă și înlocuiți adresa URL implicită de conectare cu una personalizată.

Poate doriți să utilizați un amestec aleatoriu de litere și cifre. Acest lucru va face mai dificil pentru atacatori să ghicească. Asigurați-vă că fie marcați noua pagină de conectare, fie setați o adresă URL pe care să o puteți aminti.

17. Limitați încercările de conectare

După cum am menționat mai devreme, atacatorii pot obține acces la site-ul dvs. încercând mai multe combinații de nume de utilizator și parole. Setarea parolelor puternice poate fi o modalitate eficientă de a le bloca încercările, dar există un alt lucru pe care îl puteți face pentru a opri atacurile cu forță brută.

Aceasta implică limitarea numărului de încercări de conectare pe care utilizatorii le pot face într-o anumită perioadă de timp. Această limitare nu va afecta utilizatorii obișnuiți, dar ar trebui să fie suficientă pentru a dejuta atacurile cu forță brută care folosesc roboți. Limitând rata la care pot încerca noi acreditări, puteți minimiza șansele de a reuși.

Există o mulțime de instrumente pe care le puteți folosi pentru a limita încercările de conectare în WordPress. Dacă utilizați Jetpack, aveți acces la caracteristica sa de protecție împotriva forței brute. Acest lucru limitează automat încercările de conectare pe care Jetpack le identifică ca fiind rău intenționate.

opțiunea de a activa protecția împotriva atacurilor de forță brută cu Jetpack

Jetpack vă poate ajuta, de asemenea, să vă permiteți lista adreselor IP, astfel încât acestea să nu fie blocate de instrumentul de protecție a forței brute. Puteți utiliza acest lucru pentru adresa dvs. IP și cea a colegilor dvs. de muncă pentru a preveni semnalizările false.

Explorați beneficiile Jetpack

Aflați cum Jetpack vă poate ajuta să vă protejați, să accelerați și să vă dezvoltați site-ul WordPress. Obțineți o reducere de până la 50% în primul an.

Explorați planurile

18. Deconectați automat utilizatorii inactiv

Multe site-uri web vă vor deconecta din cont după o anumită perioadă de timp. Aceasta este o măsură de securitate concepută pentru a împiedica alte persoane să vă deturneze sesiunea dacă au acces la computerul dvs.

Este posibil ca aceasta să nu fie o problemă în funcție de locul de unde vă conectați, dar este totuși o măsură de securitate care merită implementată. Acest lucru se aplică în special dacă există alte persoane care au acces la tabloul de bord al site-ului dvs.

WordPress nu deconectează utilizatorii automat. Pentru a adăuga această funcționalitate, va trebui să utilizați un plugin precum Deconectare inactivă.

Plugin de deconectare inactiv

După ce instalați pluginul, accesați Setări → Deconectare inactivă → Setări generale . Căutați opțiunea Idle Timeout și setați valoarea la orice temporizator doriți, în minute.

setarea timpului de inactivitate în minute

Acum, utilizatorii vor fi deconectați automat dacă sunt inactivi pentru acea perioadă de timp. De asemenea, pluginul vă permite să configurați un mesaj care îi informează de ce sesiunea lor este închisă, astfel încât să nu fie confuzi când revin.

19. Schimbați prefixul implicit al bazei de date WordPress

Fiecare bază de date WordPress are un nume. În mod implicit, acel nume este wp_something, cu „ceva” în locul numelui real al bazei de date.

Ceea ce este cu adevărat important aici este prefixul. În mod implicit, WordPress folosește prefixul wp_ , ceea ce înseamnă că atacatorii pot ghici cu ușurință numele complet al bazei de date.

Simpla schimbare a prefixului poate face această sarcină mult mai dificilă pentru atacatori. Din păcate, nu este atât de simplu să schimbi prefixul bazei de date WordPress.

Acest proces necesită să editați ambele fișiere de bază și să faceți modificări în baza de date în sine. Deci, înainte de a face orice altceva, va trebui să efectuați o copie de rezervă completă a site-ului web, care include toate fișierele și baza de date. În acest fel, dacă ceva nu merge bine, puteți restabili copia de rezervă.

Pentru a începe, accesați site-ul web prin FTP și accesați fișierul wp-config.php . Deschideți fișierul și căutați această linie în interior:

 $table_prefix = 'wp_';

Puteți continua și înlocuiți prefixul „wp_” cu altceva, cum ar fi „newprefix_”. Acesta este doar un exemplu, totuși. Veți dori să alegeți ceva care este greu de ghicit.

Acum, salvați fișierul și accesați baza de date folosind phpMyAdmin. Selectați baza de date WordPress din lista din stânga și faceți clic pe SQL în meniul din partea de sus a ecranului, deasupra listei de tabele.

Aceasta va deschide o pagină în care puteți executa comenzi SQL care afectează baza de date. Ceea ce trebuie să faceți acum este să înlocuiți prefixele de tabel existente pentru toate tabelele din baza de date. În mod implicit, asta înseamnă următoarele tabele:

  • wp_options
  • wp_postmeta
  • wp_posts
  • wp_term_relationships
  • wp_term_taxonomie
  • wp_terms
  • wp_commentmeta
  • wp_comments
  • wp_links

Rețineți că unele pluginuri pot adăuga, de asemenea, tabele noi la baza de date. Va trebui să actualizați și prefixele acestor tabele.

Pentru fiecare tabel, va trebui să rulați următoarea comandă SQL:

 RENAME table wp_xxxx TO newname_xxxx;

Substituenții „xxxx” reprezintă numele fiecărui tabel după liniuță. De asemenea, va trebui să schimbați prefixul newname_ cu cel pe care l-ați setat mai devreme când modificați wp-config.php .

Repetați acest proces după cum este necesar pentru fiecare tabel din baza de date. Când sunteți gata, puteți reveni la tabloul de bord.

Schimbarea prefixului bazei de date poate distruge orice pluginuri și teme active de pe site-ul dvs. Aceste instrumente nu vor recunoaște baza de date actualizată până când nu le dezactivați și reactivați.

Prin urmare, va trebui să parcurgeți fiecare plugin și temă de pe site-ul dvs. și să urmați acel proces. Când ați terminat, verificați-vă site-ul pentru a vă asigura că totul funcționează așa cum ar trebui.

20. Ascundeți versiunea dvs. WordPress

În trecut, WordPress obișnuia să afișeze versiunea software-ului pe care o folosea un site în subsol. Ideea a fost că aceste informații ar putea fi utile în scopuri de depanare și ar fi mult mai ușor de găsit dacă ar fi ușor disponibile pentru vizitatorii front-end.

Problema acestei abordări este că afișarea numărului de versiune înseamnă că atacatorii pot căuta vulnerabilități specifice versiunii respective. Acest lucru oferă actorilor rău intenționați o mulțime de informații pe care le pot folosi pentru a efectua un atac asupra site-ului dvs.

În plus, această caracteristică nu are niciun beneficiu practic pentru tine. La urma urmei, poți oricând să verifici versiunea WordPress a site-ului tău din tabloul de bord.

Versiunile mai noi de WordPress nu mai afișează aceste informații pe front end. Dacă puteți vedea numărul versiunii în subsol, înseamnă că site-ul dvs. web este întârziat pentru o actualizare WordPress.

21. Păstrați versiunea PHP actualizată

După cum probabil știți, WordPress este construit în mare parte pe PHP. Se bazează pe acest limbaj de programare pentru a efectua majoritatea sarcinilor de administrare.

PHP este, de asemenea, un software. Aceasta înseamnă că primește actualizări regulate cu caracteristici și funcții noi și performanțe îmbunătățite.

WordPress necesită ca serverul dvs. să ruleze PHP versiunea 7.4 sau mai mare. Există versiuni mai recente de PHP și fiecare dintre ele aduce software-ului îmbunătățiri de performanță și securitate. Aceste upgrade-uri se transferă și la WordPress însuși.

Cele mai multe gazde web de renume actualizează PHP pe serverele lor pe măsură ce apar noi versiuni. Unii furnizori vă permit chiar să comutați între versiuni manual (ceea ce poate fi necesar pentru depanarea erorilor de pe site-ul dvs. WordPress).

Puteți verifica ce versiune de PHP rulează site-ul dvs. navigând la Setări → Sănătatea site-ului → Informații → Server în tabloul de bord WordPress. Aici veți vedea o prezentare generală a configurației serverului dvs., inclusiv versiunea de PHP pe care o folosește.

informații despre server în WordPress

Dacă versiunea respectivă este învechită, poate doriți să contactați gazda dvs. web. Ei ar putea să actualizeze PHP pentru dvs. Chiar și așa, acesta este ceva ce nu ar trebui trebuie să faceți dacă utilizați un furnizor de găzduire de renume, deoarece acesta se va ocupa de asta pentru dvs.

22. Dezactivați raportarea erorilor PHP

WordPress vine cu un instrument de depanare care permite CMS-ului să înregistreze erori PHP. Puteți utiliza aceste rapoarte de eroare pentru a depana problemele tehnice de pe site-ul dvs.

Din păcate, aceste rapoarte pot duce și la probleme de securitate. Dacă atacatorii obțin acces la jurnalele de erori PHP, pot obține o mulțime de informații despre cum funcționează site-ul dvs. Ei ar putea să vadă ce pluginuri sunt active pe site-ul dvs. (dacă afișează erori), precum și fișierele importante de pe site-ul dvs. cu probleme PHP.

Dacă nu remediați în mod activ o eroare în WordPress, nu trebuie să activați raportarea erorilor PHP. Dacă îl utilizați pentru a diagnostica o problemă, veți dori să dezactivați modul de depanare WordPress imediat ce obțineți informațiile de care aveți nevoie.

Dezactivarea raportării erorilor PHP necesită să modificați fișierul wp-config.php , care se află în rădăcina WordPress director. Puteți accesa directorul prin FTP, așa cum se arată mai devreme.

Apoi, deschideți fișierul wp-config.php și adăugați următoarea linie de cod:

 define ( 'WP_DEBUG', true );

Schimbă adevăratul valoare la fals și salvați fișierul. Acest lucru va dezactiva jurnalele de erori în WordPress.

Le puteți reporni oricând, după cum este necesar. Va trebui doar să schimbați valoarea înapoi la true .

23. Eliminați pluginurile și temele inutile

Pluginurile și temele fac din WordPress o platformă atât de versatilă. Acestea adaugă noi funcții site-ului dvs. și vă permit să-i personalizați designul.

Problema este că unii oameni instalează zeci de pluginuri și teme, dar folosesc doar câteva dintre ele. De exemplu, ați putea încerca multe teme diferite înainte de a vă alege preferatul, dar nu le dezinstalați niciodată pe restul.

Fiecare plugin activ de pe site-ul dvs. prezintă un risc de securitate. De obicei, acest risc este minim pentru pluginurile care primesc actualizări regulate și au o echipă de dezvoltare reputată în spate. Pentru pluginurile învechite sau pentru cele care nu mai primesc actualizări, acest risc crește drastic.

Același lucru este valabil și pentru teme. A avea teme pe care nu le folosești pe site-ul tău poate duce la vulnerabilități.

Dacă nu utilizați în mod activ o anumită temă sau plugin, cel mai sigur pariu este să îl dezinstalați (nu doar să îl dezactivați). Acest lucru durează doar câteva minute, dar poate face o diferență enormă pentru securitatea site-ului dvs. În plus, dacă te răzgândești, poți oricând să reinstalezi un plugin sau o temă ștearsă.

Cu toate acestea, aici există o excepție. Poate doriți să păstrați o temă implicită, cum ar fi Twenty Twenty-Three , instalată, dar inactivă, în scopul depanării.

24. Eliminați conturile de utilizator inutile

Ca regulă generală, nimeni nu ar trebui să aibă acces la site-ul dvs. decât dacă este absolut necesar. Dacă trebuie să acordați acces cuiva (pentru a publica conținut, a efectua întreținere sau a actualiza site-ul), trebuie să vă asigurați că nu îi atribuiți un rol de utilizator cu mai multe permisiuni decât are nevoie.

Odată ce o persoană nu mai are nevoie de acces la site-ul web, puteți continua și ștergeți contul. Acest lucru îi va împiedica să modifice site-ul web fără aprobarea dvs.

Aceste conturi de utilizator prezintă un alt risc. Unele persoane pot reutiliza acreditările din conturile lor personale pentru a vă conecta la site-ul dvs. web. Dacă aceste acreditări sunt scurse într-o încălcare a securității, atacatorii le vor putea folosi pentru a obține acces la site-ul dvs.

Ștergerea conturilor de utilizator din WordPress este simplă. Pentru a face acest lucru, accesați Utilizatori → Toți utilizatorii și selectați un cont. După ce identificați contul pe care doriți să-l eliminați, treceți cu mouse-ul peste el și faceți clic pe Ștergere .

Rețineți că această opțiune va apărea numai dacă sunteți administrator. Atâta timp cât nimeni altcineva nu are acces la contul de administrator, ar trebui să fii singura persoană cu posibilitatea de a șterge conturile de utilizator.

25. Monitorizați activitatea utilizatorului

Dacă rulați un site web WordPress unde alte persoane au acces la tabloul de bord pentru a publica conținut, pentru a face modificări site-ului și a-l actualiza, probabil că veți întâmpina probleme de securitate mai devreme sau mai târziu. De exemplu, cineva ar putea să-și fure acreditările sau să instaleze un plugin care introduce un risc de securitate pentru site.

Din acest motiv, este o idee bună ca administratorul să țină cont de ceea ce fac alții atunci când folosesc site-ul.

Jurnalele de activitate sunt instrumente care monitorizează anumite evenimente și notează când se întâmplă acestea. Puteți accesa acel jurnal și puteți vedea cine a făcut ce și când. Acest lucru vă permite să identificați evenimente și acțiuni care pot avea un impact negativ asupra securității site-ului dvs.

Această caracteristică nu este disponibilă în WordPress în mod implicit, dar o puteți adăuga cu un plugin. Jetpack Security include un jurnal de activitate care stochează date din ultimele 30 de zile.

Jurnalul este găzduit în afara site-ului. Prin urmare, dacă pierdeți accesul la site, puteți verifica jurnalul pentru a vedea ce s-a întâmplat, înainte de a restaura o copie de rezervă recentă.

26. Utilizați un CDN pentru a reduce riscul unui atac DDoS

Rețelele de livrare de conținut (CDN) vă pot ajuta să reduceți drastic timpul de încărcare. Ei fac acest lucru prin memorarea în cache a site-ului dvs. web folosind o rețea de centre de date distribuite în întreaga lume. Când cineva vizitează site-ul, CDN-ul interceptează cererea și încarcă o copie de pe cel mai apropiat server.

Utilizarea unui CDN oferă o serie de beneficii dincolo de reducerea timpilor de încărcare. De exemplu, serverul tău este mai puțin solicitat, ceea ce înseamnă că site-ul tău web va fi mai bine poziționat pentru a face față creșterilor mari de trafic. Mai mult, un CDN poate acționa ca o barieră în cazul unui atac.

Dacă site-ul dvs. este ținta unui atac DDoS, CDN-ul îl poate închide rapid. O mulțime de CDN-uri pot cere vizitatorilor să verifice dacă sunt oameni dacă rețeaua detectează ceva ciudat cu conexiunea. Deoarece atacurile DDoS se bazează pe roboți, adesea nu pot ocoli aceste tipuri de verificări de securitate.

Chiar dacă atacul DDoS reușește să ajungă la CDN, centrele sale de date sunt construite pentru a gestiona afluxurile masive de trafic. Între timp, site-ul dvs. în sine va fi protejat de CDN.

Puteți integra orice CDN doriți cu WordPress. Jetpack CDN este foarte ușor de configurat. Îl puteți activa gratuit în pluginul Jetpack, iar CDN-ul va începe să memoreze fișierele media de pe site-ul dvs.

27. Migrați la un furnizor de găzduire axat pe securitate

Fiecare gazdă web are propriul său punct de vânzare. De exemplu, unii furnizori de găzduire sunt mai concentrați pe securitate și performanță, în timp ce alții acordă prioritate prețurilor accesibile.

În mod ideal, veți alege o gazdă web care promite performanță și securitate de top (și nu percepe un tarif nedrept pentru aceasta). Există o mulțime de gazde web care se potrivesc acestor criterii și gestionează sarcinile esențiale de securitate pentru dvs. Aceste sarcini pot include:

  • Backup -uri
  • Configurarea unui WAF
  • Protejându -vă de atacurile DDOS
  • Scanare și curățare malware

Dacă doriți să petreceți mai mult timp și energie pentru rularea site -ului dvs. web și mai puțin pentru a -l proteja împotriva atacurilor, veți dori să alegeți o gazdă care să aprecieze securitatea. Pentru a începe, poate doriți să luați o listă de gazde WordPress recomandate.

Gazdele web care oferă planuri de găzduire gestionate tind să ofere mai mult în ceea ce privește securitatea. Desigur, aceste servicii vor fi un pic mai scump decât planurile neadministrate, dar vă pot ajuta să vă puneți mintea în largul său.

28. Luați în considerare o soluție de securitate a întreprinderii

Dacă rulați un site web la nivel de întreprindere, măsurile dvs. de securitate ar trebui să depășească actualizarea plugin-urilor și efectuarea copiilor de rezervă. Veți avea nevoie de o soluție de securitate care să ofere protecție end-to-end pentru site-ul dvs. web.

WPSCAN are cea mai mare bază de date de vulnerabilități de securitate WordPress de pe piață.

WPSCAN oferă o soluție de securitate axată pe întreprindere. Acest lucru poate fi adaptat la nevoile companiei dvs. și la tipul de site pe care îl aveți. Puteți contacta direct la WPSCAN pentru a obține o evaluare a securității site -ului dvs. și pentru a solicita o ofertă.

Întrebări frecvente

Această listă de sfaturi de securitate WordPress a acoperit cele mai importante măsuri pentru protejarea site -ului dvs. Dacă mai aveți întrebări despre cum să îmbunătățiți securitatea site -ului dvs. web, această secțiune va avea ca scop să le răspundeți.

Ce amenințări comune pot fi atenuate de aceste cele mai bune practici de securitate WordPress?

Acest ghid acoperă totul, de la măsuri de protecție de bază până la practici de securitate mai avansate. Dacă vă luați timp pentru a implementa fiecare măsură prezentată în acest articol, site -ul dvs. web ar trebui să fie protejat împotriva celor mai comune amenințări. Acestea includ atacuri de forță brută, furtul de date și malware.

Scopul final al acestor măsuri este de a se asigura că niciun actor rău intenționat nu poate accesa site -ul dvs. și poate provoca daune. De asemenea, pot preveni greșelile utilizatorilor neexperimentați, cum ar fi instalarea unui plugin rău.

Care este cel mai simplu mod de a îmbunătăți securitatea WordPress?

Dacă nu aveți timp să implementați fiecare măsură din acest ghid, cel mai bun lucru pe care îl puteți face este să configurați un plugin de securitate WordPress. Aceste instrumente vor activa automat o mulțime de funcții care vă ajută să vă protejați site -ul web.

Jetpack Security este o soluție all-in-one care automatizează multe sarcini esențiale. Efectuează copii de rezervă în timp real, stabilește un firewall, scanează și oferă corecții rapide pentru malware, îți protejează site-ul împotriva spamului și multe altele. De asemenea, vă oferă acces la jurnalele de activitate, astfel încât să puteți identifica orice acțiuni pe site -ul dvs. care ar fi putut provoca o problemă de securitate (și cine le -a efectuat).

Care este cel mai bun plugin de securitate pentru WordPress?

Există multe pluginuri de securitate WordPress din care să alegeți, dar Jetpack Security este una dintre cele mai cuprinzătoare soluții de pe piață. Se ocupă de majoritatea practicilor de securitate discutate în acest post, inclusiv backup -uri, scanare și îndepărtare a malware -ului și protecția împotriva spamului.

Cum pot face o copie de rezervă a site -ului WordPress și unde ar trebui să stochez backup -urile?

Există mai multe modalități de a face o copie de siguranță a unui site web WordPress. Puteți face backup pentru toate fișierele și baza de date manual, puteți utiliza un plugin care o face pentru dvs. sau vă înscrieți pentru un plan de găzduire care include unele copii de rezervă limitate.

În cele mai multe cazuri, nu doriți să stocați backup -uri la nivel local sau într -o singură locație. Acesta este motivul pentru care nu este de obicei recomandat să vă bazați doar pe găzduirea de rezervă. Backup -urile în cloud tind să fie mai sigure, deoarece majoritatea furnizorilor stochează mai multe copii de dragul redundanței.

Securitatea Jetpack include backup-uri în timp real în timp real. Totul este stocat în afara locului, iar o nouă copie de rezervă se face de fiecare dată când faceți o schimbare pe site -ul dvs. web.

Cât de des ar trebui să -mi actualizez site -ul WordPress?

În mod ideal, ar trebui să actualizați WordPress și componentele sale imediat ce există actualizări disponibile. Utilizarea celei mai recente versiuni a oricărui software va stimula securitatea și performanța site -ului dvs. În plus, vă oferă acces la cele mai recente funcții.

O mulțime de actualizări sunt axate pe plastirea vulnerabilităților de securitate. În mod ideal, veți dori să verificați site -ul dvs. pentru actualizări zilnic. Puteți activa chiar actualizări automate pentru pluginuri. Toate acestea și multe altele sunt posibile cu Jetpack Security, cel mai important plugin de securitate în timp real și de rezervă.

Cât de des ar trebui să -mi scanez site -ul WordPress pentru malware?

Dacă puteți, ar trebui să vă scanați site -ul pentru malware zilnic. Întrucât aceasta este o sarcină atât de critică, are sens să o automatizăm. În acest fel, pluginul dvs. de securitate sau scanerul malware va fi în continuare în căutarea vulnerabilităților, chiar dacă nu sunteți disponibil.

Securitatea Jetpack include scanarea automată a malware. Pluginul îți scanează site -ul periodic și te notifică dacă găsește ceva suspect.

Securitate Jetpack: Protecție WordPress și o copie de rezervă a non-stopului

Protejarea unui site web WordPress poate fi multă muncă. Va trebui să efectuați copii de rezervă regulate, să efectuați actualizări, să vă scanați site -ul pentru malware și multe altele. În plus, veți dori să vă asigurați că oricine are acces la site -ul dvs. folosește nume de utilizator și parole puternice.

O soluție all-in-one, cum ar fi Jetpack Security, poate gestiona majoritatea acestor sarcini pentru dvs. Veți primi copii de rezervă și scanări automate, protecție împotriva spamului, un firewall puternic și multe altele. Tot ce trebuie să faceți este să instalați pluginul și să activați aceste caracteristici.

Sunteți gata să stimulați securitatea site -ului dvs.? Începeți cu Jetpack Security astăzi!