Un ghid practic pentru securitatea WordPress

Odată cu creșterea încălcărilor în securitatea Web, este esențial să se ia măsuri preventive pentru a vă proteja site-ul web împotriva intrusilor. Deci, dacă aveți un site WordPress, citiți mai departe. Vă vom oferi câteva sfaturi și instrumente pe care le puteți utiliza pentru a face site-ul dvs. WordPress securizat și sigur.


„Nu se poate întâmpla cu site-ul meu!” Acesta este gândul general pe care majoritatea dintre noi îl avem atunci când auzim că un hacker a încălcat securitatea unui site.

Poate că persoana cu site-ul hacked consideră că trebuie să fi făcut ceva teribil de greșit pentru a scurge informațiile vitale. Poate persoana a făcut greșeala teribilă de a-și asuma securitatea site-ului său web.

S-ar putea să vă simțiți în siguranță folosind o platformă CMS și o platformă de blogging foarte populare precum WordPress pentru site-ul dvs. Cu toate acestea, veți face bine să rețineți că imensa popularitate globală a WordPress este unul dintre motivele principale pentru care hackerii vizează site-uri bazate pe această platformă.

WordPress este o platformă extrem de ușor de utilizat și acest lucru o face și mai vulnerabilă la atacurile hackerilor și spammerilor. Încă de la început, ar trebui să faceți din securitate o prioritate principală pentru site-ul dvs., împreună cu hostingul și designul Web.

Iată un studiu aprofundat asupra diferitelor măsuri pe care trebuie să le luați pentru a îmbunătăți securitatea site-ului dvs. WordPress. Vom analiza, de asemenea, sfaturile de top pentru a proteja un site WordPress, principalele plugin-uri de securitate WordPress și instrumentele de testare.

Trebuie să vă dați seama că niciun site web nu poate fi securizat 100% și chiar informațiile partajate aici nu vor face ca site-ul dvs. să fie complet sigur. Obiectivul final este să vă ajute să luați toate măsurile de precauție necesare pentru a vă asigura site-ul dvs. WordPress împotriva majorității atacurilor.

Bazele securității web

S-ar putea să credeți că este foarte puțin probabil ca site-ul dvs. să fie hacked în viitor, deoarece nu s-a confruntat niciodată cu probleme de securitate în trecut cu privire la malware, coduri rău intenționate sau chiar comentarii spam.

Dar, unul dintre cele mai de bază lucruri de reținut despre securitatea Web este că trebuie să rămâi activ și să nu fii reactiv. Aceasta înseamnă că ar trebui să faceți niște pași de precauție chiar de la început, în loc să credeți că cineva nu vă poate hack site-ul și să lucrați pentru a-i spori securitatea.

De asemenea, înainte de a sări la pașii pentru securitatea WordPress, trebuie să vă dați seama de importanța existenței acestei securități.

Foarte multe persoane vă vizitează site-ul. Unii dintre ei se pot abona la buletinele informative ale site-ului dvs., iar unii se pot înregistra ca membri ai forumurilor site-ului dvs. Datele partajate de vizitatorii dvs. sunt, de asemenea, vulnerabili la atacuri dacă site-ul dvs. este hacked. Deci, este responsabilitatea dvs. să vă asigurați securitatea datelor site-ului dvs. web, care, la rândul său, vă vor proteja datele vizitatorilor dvs..

Dacă site-ul dvs. WordPress atrage puțin trafic, este posibil să susțineți că nu există niciun motiv pentru ca un hacker să vă atacă site-ul atunci când există mii de alte site-uri web mai populare disponibile online. Dacă este așa, atunci este probabil să înțelegeți motivele pentru care un hacker poate încerca să încalce site-ul dvs. web.

Hackerii nu sunt îngrijorați dacă site-ul dvs. atrage doar câțiva vizitatori, deoarece, după ce au acces la site-ul dvs., pot utiliza serverul dvs. pentru a trimite e-mailuri spam. Acestea fac acest lucru pentru a-i ajuta să își comercializeze serviciile, produsele sau site-urile.
Odată cu creșterea acestui tip de activitate de spaming de pe serverul tău hacked, șansele ca adresa dvs. IP să obțină lista neagră cresc enorm. În mod alternativ, hackerii ar putea prefera să utilizeze serverul dvs. pentru propriile activități ale site-ului, deoarece adresele lor IP sunt deja listate.

În afară de realizarea motivelor pentru hacking, trebuie să înțelegeți diferitele moduri în care un hacker sau un spammer vă poate ataca site-ul. Acest lucru vă va ajuta în continuare să planificați activitățile site-ului dvs. astfel încât site-ul dvs. să devină mai mic vulnerabil la amenințările de securitate.

Ele pot ataca prin orice plugin sau temă WordPress. De fapt, există cazuri în care problemele cu un plugin de securitate au permis hackerilor să atace un site web care a folosit pluginul. De asemenea, hackerii pot profita de orice vulnerabilitate de securitate de pe platforma de găzduire și pot folosi orice parametru URL pentru a vă accesa baza de date.

În acest fel, vă pot modifica datele, vă pot schimba parola sau chiar ștergeți datele. Este surprinzător să știi că multe atacuri se întâmplă chiar din cauza unei parole slabe pentru a accesa panoul de administrare WordPress sau chiar pentru a accesa panoul de control al găzduirii.

După ce ați dezvoltat o înțelegere de bază a necesității de a vă asigura site-ul dvs. WordPress, puteți citi acum în continuare pentru a afla despre modalitățile prin care puteți crește securitatea site-ului dvs..

9 sfaturi de securitate pentru a vă proteja site-ul WordPress împotriva hackerilor

Mențineți-vă site-ul WordPress actualizat

Dacă întârziați actualizarea site-ului dvs. WordPress, deoarece vă temeți că veți pierde date din cauza unei actualizări incorecte, atunci trebuie să începeți imediat să faceți copii de rezervă. După ce faceți o copie de rezervă a site-ului dvs., puteți merge cu ușurință înainte și să actualizați versiunea WordPress la cea mai recentă versiune. Trebuie să faceți acest lucru deoarece WP remediază erorile de securitate ale versiunii anterioare cu fiecare versiune nouă care devine disponibilă.

De asemenea, informații WordPress informează publicul despre aceste corecții, ceea ce face ca site-ul tău învechit să fie și mai vulnerabil. Așadar, faceți-vă obișnuința de a utiliza opțiunea „Actualizare disponibilă” în mod regulat, odată ce vă conectați la tabloul de bord al administratorului dvs. WordPress.

Actualizați temele și pluginurile pe care le utilizați și ștergeți cele nefolosite

Trebuie să vă păstrați Plugin-uri WordPress și teme actualizate din aceleași motive pentru care trebuie să actualizați versiunea generală WordPress. Un hacker poate manipula cu ușurință un plugin sau o temă învechită (prin găuri de securitate) pentru a avea acces la administratorul site-ului dvs..

Deci, nu vă faceți griji cu privire la compatibilitatea pluginului dvs. cu tema dvs. actuală, dar ar trebui să vă asigurați că utilizați întotdeauna cele mai recente versiuni ale ambelor.

Pe linii similare, asigurați-vă că secțiunea dvs. de plugin-uri din tabloul de bord WordPress conține doar acele pluginuri pe care le utilizați. Ștergeți cele pe care nu le utilizați, deoarece aveți mai puține șanse să actualizați astfel de plugin-uri, iar acest lucru crește din nou vulnerabilitatea lor la atacurile de securitate.

Rețineți că este important să „ștergeți” pluginurile neutilizate și nu doar să le „dezactivați”.

Evitați descărcarea de teme sau pluginuri din surse necunoscute

Puteți fi tentat să descărcați câteva plugin-uri sau teme premium gratuit, chiar dacă provin din surse necunoscute.

În timp ce s-ar putea să vă simți încântat de obținerea unor funcții avansate fără costuri, este posibil să uitați să acordați atenție amenințării de securitate pe care aceste funcții le pot aduce. Un plugin dintr-o sursă necunoscută poate introduce malware sau introduce cod cod rău în site-ul dvs. În loc să vă asumați un risc atât de mare, este întotdeauna recomandabil să descărcați doar teme și pluginuri din surse cunoscute.

Puteți utiliza plugin-Verificare sau Tema-Verificare pentru a verifica codul pluginurilor și respectiv al temelor. Un cod prost scris poate ușura accesul hackerilor la site-ul dvs. web.

Dacă nu sunteți în totalitate sigur de sursă și nu știți cum să verificați calitatea codului, puteți pur și simplu să optați pentru proiectele gratuite de WordPress de pe platforma WordPress.org.

Puneți un nume de utilizator și parolă WordPress puternici

Pentru a vă crea site-ul utilizând platforma WordPress, veți avea acces la tabloul de bord back-end. În mod implicit, WP generează un nume de utilizator (admin) și o parolă puternică pentru a vă conecta la acest tablou de bord în timpul instalării WordPress. Dar, după instalare, trebuie să schimbați numele de utilizator al administratorului WordPress în ceva care vă este unic.

Alături de aceasta, trebuie să vă amintiți să schimbați parola în ceva necunoscut de oamenii din jurul dvs. sau de vizitatorii site-ului dvs. web. De exemplu, dacă site-ul dvs. vă dezvăluie data nașterii sau numele soțului, asigurați-vă că nici parola nu conține. Acest lucru face dificil pentru orice hacker să vă ghicească parola. De asemenea, ar trebui să păstrați o parolă sigură pentru contul panoului dvs. de control.

În plus, puteți încerca să adăugați o CAPTCHA la pagina dvs. de conectare WordPress pentru a crește și mai mult securitatea site-ului. Acest lucru vă va asigura că un bot sau script nu poate avea acces la site-ul dvs. web printr-un atac de forță brută.

Adăugați o autentificare de securitate WordPress în doi pași

Câte parole pot păstra și actualiza în mod regulat? Este posibil să aveți această întrebare cu privire la menținerea parolelor solide pentru diverse puncte de intrare în panoul WordPress sau panoul de control.

Ei bine, vă puteți bucura de o parolă de conectare gratuită la panoul WordPress folosind ceva de genul Plug-ul de autentificare cu doi factori. Cu acest plugin, puteți utiliza telefonul dvs. mobil pentru a vă autentifica autentificarea sigură pe tabloul de bord al administratorului WordPress împreună cu un cod PIN sau amprentă digitală. Deci, chiar dacă telefonul dvs. este pierdut, detaliile contului dvs. Clef rămân în siguranță.

Sau, puteți utiliza Autentificator Google pentru a asigura o autentificare în doi pași. Cu aceasta, trebuie să utilizați parola, precum și să introduceți un cod de autentificare generat în mod unic, care vine ca un SMS pentru telefonul dvs..

Căutați o companie sigură de găzduire

Având cea mai recentă versiune a site-ului WordPress, nu va conta dacă hackerul poate sparge versiunea veche PHP a platformei care găzduiește site-ul dvs. Deci, trebuie să utilizați serviciile de găzduire ale unui furnizor de găzduire web extrem de fiabil.

Gazda dvs. ar trebui să aibă capacitatea de a extinde suportul pentru cele mai recente versiuni MySQL și PHP. De asemenea, ar trebui să aibă un sistem eficient de detectare a intruziunilor pentru a identifica eventualele atacuri și ar trebui să ofere site-ului dvs. un firewall pentru aplicații Web pentru o securitate sporită.

Limitați numărul de încercări de conectare

Hackerii folosesc atacuri de forță brută pentru a sparge parola pe care o utilizați pentru a vă autentifica în panoul WordPress. Încercă continuu încercările de conectare aleatorii până când reușesc.

Chiar dacă parola este puternică, aceasta ajută la identificarea unor cantități nejustificate de încercări de conectare și restricționează adresele IP care fac aceste încercări. Puteți apoi interzice astfel de adrese IP pentru o perioadă determinată. Puteți face utilizând pluginuri de genul Logare Blocare sau Soluție de securitate de conectare.

Programează Backup-uri frecvente ale site-ului tău web

Acesta este un pas important, deoarece te ajută chiar și atunci când cineva îți afectează sau îți compromite site-ul. Când cineva vă aduc site-ul dvs., puteți reveni cu ușurință la versiunea anterioară a site-ului dvs. web care nu a fost compromis. Puteți utiliza, de asemenea, oricare dintre soluțiile automate pentru copii de rezervă, cum ar fi VaultPress sau BackUpBuddy.

Păstrați-vă spațiul de administrare WordPress bine protejat

Doar un număr select de persoane trebuie să aibă acces la tabloul de bord admin. De asemenea, ori de câte ori este posibil, încercați să limitați permisiunea celor care accesează tabloul de bord. Acest lucru vă va ajuta să reduceți amenințarea de atacuri din surse necunoscute.
De asemenea, trebuie să vă asigurați că alții au acces limitat sau nu la dosarul WordPress / wp-admin / sau la fișierul wp-login.php. Puteți permite accesul la propria dvs. adresă IP adăugând următoarea bucată de cod în fișierul .htaccess:

ordinea negă, permite
Negă de la toate
Permiteți de la zz.zz.zz.zz

În codul de mai sus, trebuie doar să înlocuiți „zz.zz.zz.zz” cu setul dvs. de adrese IP pentru diferite locații sau dispozitive.

Dacă nu aveți de-a face cu adrese IP statice, este posibil ca această metodă să nu funcționeze pentru dvs. În astfel de cazuri, puteți utiliza pluginurile discutate mai sus pentru a limita încercările de conectare.

Pluginuri de securitate WordPress pentru a detecta codul rău intenționat pe site-ul dvs.

Dacă un hacker îți atacă site-ul, acesta va ajuta la limitarea daunelor sau la luarea de măsuri în timp util dacă înveți despre el imediat. Deci, să ne uităm la unele dintre cele mai importante plugin-uri de securitate WordPress care pot detecta coduri rău introduse pe site-ul dvs. web.

WP AntiVirus Site Protection

Acest plugin popular, oferit de SiteGuarding.com, vă ajută să detectați și să eliminați viruși sau coduri rău intenționate găsiți pe site-ul dvs. WordPress. Scanează elemente cum ar fi fișierele plugin, fișierele cu teme și toate încărcările pentru a detecta rapid amenințările de securitate, inclusiv în aer liber, adware, spyware, rootkits, viermi, cai troieni și instrumente de fraudă.

Dacă continuați să descărcați teme și pluginuri de pe site-uri de torrent (în loc să cumpărați copiile originale de la dezvoltatori), atunci trebuie să aveți acest tip de plugin pentru o mai bună securitate.

Securitate Wordfence

Acest plugin oferă securitate gratuită, în clasa întreprinderii, protejând site-ul dvs. împotriva malware-ului, precum și potențialelor hack-uri. Verifică dacă site-ul dvs. are deja o infecție și efectuează o scanare profundă din partea serverului a codului sursă al site-ului.
Compara codul cu Repositorul oficial WordPress pentru pluginuri, nuclee și teme. Nu numai că protejează site-ul dvs. împotriva majorității amenințărilor, dar face și site-ul dvs. de 50 de ori mai rapid decât înainte.

De asemenea, Wordfence permite blocarea în timp real a atacatorilor cunoscuți. Aceasta înseamnă că, dacă un hacker atacă acest plugin în alt site, acel hacker este blocat automat și de pe site-ul dvs..

Poate bloca o întreagă rețea de adrese IP dăunătoare atunci când există o amenințare de coduri rău intenționate pe site-ul tău. În plus, aceasta ajută la blocarea amenințărilor sub formă de răzuitoare, crawlere și roboți identificați în timpul scanărilor de securitate. De asemenea, scanează troienii, codul suspect, spațiul în aer liber, adresele URL de phishing, malware, vulnerabilitatea HeartBleed etc..

Dacă sunteți un utilizator premium, puteți bloca și țări și puteți programa frecvent scanări pentru anumite perioade.

Exploit Scanner

Exploit Scanner este mereu în căutare de ceva suspect în fișierele și baza de date a site-ului dvs. WordPress, inclusiv postări și tabele de comentarii..

De asemenea, scanează pluginurile pe care le utilizați pentru orice nume de fișier înșelător sau neobișnuit. Dacă găsește vreun cod sau fișier rău intenționat, acest plugin oferă un raport detaliat administratorului site-ului și îl lasă la dispoziție pentru a elimina codul rău intenționat.

Securitate Sucuri

Acesta este un set de instrumente de securitate cuprinzător pentru a fi utilizat pentru detectarea malware, întărirea securității și monitorizarea integrității securității. Este un suport excelent pentru caracteristicile de securitate ale site-ului dvs. existent.

Unele funcții cheie ale acestui plugin includ monitorizarea integrității fișierelor, monitorizarea listei negre, auditul activităților de securitate, scanarea malware la distanță, întărirea securității și acțiunile de securitate întreprinse post-hacks, notificări de securitate și firewall-ul site-ului..

Cum să scanați site-ul dvs. WordPress pentru malware-uri ascunse?

Deoarece WordPress este o platformă open-source, este ușor susceptibilă de infecții sau injecții malware de către hackeri. Unele dintre modurile comune în care hackerii pot injecta malware pe site-ul dvs. includ următoarele:

  • Pharma Hacks (injecții de spam în baza de date sau fișierele dvs.)
  • Phishing (achiziționând informații sensibile, cum ar fi adrese de e-mail, parole și nume de utilizator)
  • Redirecții dăunătoare (redirecționarea vizitatorilor site-ului dvs. către o altă pagină a site-ului unde există un fișier infectat descărcat sau cod rău intenționat)
  • Injecții de fișiere și baze de date (adăugare de cod rău intenționat în baza de date sau fișierele site-ului)
  • În aer liber (obținerea accesului la zona de administrare sau la contul FTP)
  • Toți hackerii doresc să se asigure că proprietarul site-ului nu învață că au piratat site-ul său. Acest lucru permite hackerilor să infecteze vizitatorii site-ului prin spam-uri continue pentru o perioadă mai lungă.

Deci, obiectivul dvs. este să continuați să căutați orice malware ascuns pe site-ul dvs. despre care nu cunoașteți și să scăpați de fișierele sau folderele infectate.

Puteți face acest lucru folosind pluginuri WordPress care scanează programe malware, precum cele enumerate mai jos:

Folosește Sucuri SiteCheck Scanner pentru a căuta potențial malware. Pur și simplu accesați site-ul aici și introduceți adresa URL a site-ului dvs. web. Acest scaner gratuit va efectua o scanare cuprinzătoare a site-ului dvs. pentru malware, erori ale site-ului, starea listei negre și software-ul învechit..

Singurul dezavantaj este că trebuie să efectuați această scanare manual cu versiunea gratuită. Puteți face upgrade la planurile premium și să primiți alerte prin Twitter, e-mail sau RSS, ori de câte ori detectează malware.

Scoateți site-ul dvs. web din listele negre dacă un hacker și-a folosit serverul pentru a face spam pentru o lungă perioadă de timp. De asemenea, serviciile premium ajută la eliminarea programelor malware. Puteți încerca chiar și pluginul de securitate Sucuri discutat anterior pentru o protecție îmbunătățită împotriva malware.

Folosește Scaner anti-malware pentru a căuta malware, viruși, spații în aer liber și amenințări cunoscute similare, precum și pentru a le elimina automat. O caracteristică-cheie premium a acestui plugin este să corectezi pagina wp-login.php pentru a opri atacurile cu forțe brute.

În plus, puteți utiliza oricare dintre pluginurile de securitate WordPress discutate mai sus pentru identificarea codului rău intenționat.

Instrumente de testare a securității site-ului web

Pentru a vă proteja site-ul de atacuri, trebuie să obțineți constant nivelul de securitate al site-ului dvs., testat folosind anumite instrumente de testare, cum ar fi:

Wapiti detectează vulnerabilități (dezvăluire de fișiere, injecție de baze de date, injecție de scripturi pe site-uri, configurații slabe .htaccess și multe altele) pe site-ul dvs. web. Acest instrument utilizează abordarea de scanare a casetei negre.

Aceasta înseamnă că nu studiază codul sursă al aplicației, ci verifică paginile web formularele și scripturile unde pot injecta date. Injectează sarcini utile pentru a identifica scripturile care sunt vulnerabile. Oferă rapoarte în diferite formate, cum ar fi HTML, XML, Text și JSON.

Google Nogotofail testează traficul de rețea al unui site pentru a detecta și repara conexiuni slabe TLS sau SSL și trafic sensibil de ștergere pe diverse dispozitive. Puteți configura, de asemenea, un server VPN sau server proxy sau chiar un router.

Puteți încerca scanerul și testerul open source numit Vega. Această platformă bazată pe GUI este în Java și funcționează cu platforme OS X, Windows și Linux. Constă dintr-un proxy de interceptare pentru a executa inspecția tactică și un scaner automat pentru a efectua teste rapide.

Acest instrument poate fi utilizat pentru a identifica scripturi cross-site (XSS), injecție SQL și vulnerabilități similare.
Sperăm că aceste sfaturi și informații despre securitatea WordPress vă vor ajuta în îmbunătățirea securității site-ului dvs. într-o mare măsură.

Ați încercat deja unele pluginuri sau metode care îmbunătățesc considerabil securitatea site-ului dvs. WordPress? Vă rugăm să împărtășiți experiența dvs. și să răspândiți conștientizarea cu privire la importanța securității site-ului web în rețeaua dvs..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map