Popularul sistem de gestionare a conținutului WordPress este în prezent foarte utilizat pe scară largă. În acest articol, am dori să vă oferim câteva sfaturi privind securizarea instalației WordPress.
Din cauza distribuției ridicate a WordPress, acesta este, din păcate, o țintă populară a hackerilor și, din păcate, există din nou și atacuri automate asupra instalațiilor WordPress, unde se verifică dacă acestea conțin vulnerabilități de securitate cunoscute.
Prin urmare, este foarte important să vă mențineți întotdeauna WordPress actualizat. În cazul unei utilizări profesionale, este, prin urmare, de asemenea, util să se angajeze o agenție care să mențină WordPress la zi și să se aleagă o gazdă web care utilizează, de asemenea, un firewall pentru a proteja sistemul cât mai bine posibil împotriva atacurilor cunoscute.
Am enumerat aici cele mai importante puncte despre cum să vă protejați instalarea WordPress.
[tie_list type="checklist"]- Păstrați întotdeauna WordPress la zi
WordPress nu este doar un software pentru bloguri, ci poate fi echipat cu așa-numitele plug-in-uri, extensii cu diverse funcții. Mulți utilizatori folosesc plug-in-uri și modele speciale (teme) pentru site-uri web individuale. Principala problemă a atacurilor este lipsa de actualizare a instalațiilor.
Sfat: Dacă este posibil, alegeți o gazdă web pentru instalarea WordPress cu o interfață de administrare care vă ajută să actualizați WordPress și plugin-urile. Recomandarea noastră este utilizarea de Plesk ca software de gestionare.
Activați actualizarea automată a WordPress.
Astfel, software-ul este actualizat în permanență. Acest lucru este posibil și pentru multe Plusins.
Este recomandabil să vă conectați în mod regulat la interfața de administrare a wordpress și să verificați starea actuală a software-ului. WordPress arată direct dacă sunt disponibile actualizări.
Mai problematice sunt temele, adică modelele gata făcute, care de obicei conțin plusuri plătite. De obicei, aceste teme nu sunt instalate automat, ci trebuie actualizate manual. Pentru a face acest lucru, trebuie să descărcați versiunea curentă a temei de la producător și să o copiați în directorul de teme. După actualizare, de obicei, trebuie făcute doar câteva setări în administrarea temei.
[tie_list type="checklist"]- Utilizați conexiuni criptate.
Datele de conectare la WordPress sunt foarte râvnite și pot fi spionate cu ușurință într-o rețea nesigură, de exemplu, atunci când vă conectați la o rețea wifi deschisă într-un restaurant sau hotel.
Prin urmare, ar trebui să utilizați întotdeauna un certificat pentru o pagină de pornire. Cel mai bine este să alegeți o gazdă web care poate configura un certificat pentru dumneavoastră. Acest lucru costă doar câțiva euro pe an pentru o protecție profesională a instalației dumneavoastră.
Vă rugăm să vă asigurați întotdeauna că aveți acces criptat la instalarea WordPress prin https://, precum și acces securizat la e-mail și acces securizat prin FTP, dacă este necesar. După ce ați folosit o conexiune necriptată, vă recomandăm să schimbați imediat toate parolele.
[tie_list type="checklist"]- Salvați fișierul wp-login.php
Există, de asemenea, o modalitate de a redenumi directorul wp-admin, dar acest lucru poate cauza probleme cu funcționalitatea WordPress. O modalitate simplă de a vă proteja împotriva celor mai multe atacuri bruteforce în care parolele sunt pur și simplu ghicite este de a include cod în fișierul .htaccess. Acest lucru poate fi bine combinat cu protecția prin parolă.
[tie_list type="checklist"]- Protejați directorul de administrare cu o parolă.
În plus, trebuie să protejați acest director cu o parolă. Furnizorul dumneavoastră oferă posibilitatea de a configura o protecție a directoarelor pentru anumite directoare. Protejați-vă directorul de administrare cu un nume de utilizator și o parolă complicată, care să aibă cel puțin 12 caractere și să conțină caractere speciale. Nu alegeți niciodată parole care au doar 8 caractere. În prezent, acestea sunt considerate în general nesigure și, de obicei, pot fi sparte rapid, deoarece au fost deja precalculate în funcție de tipul de criptare.
În urma protecției prin parolă, deschideți fișierul .htaccess și lipiți următorul cod de mai sus:
ErrorDocument 401 "Blocat
ErrorDocument 403 "Blocat
# Permiteți accesul plugin-urilor la admin-ajax.php în ciuda protecției prin parolă
Ordinul permite, refuză
Permiteți din toate
Satisfaceți orice
Acest lucru asigură că pluginurile WordPress pot apela în continuare fișierele.
[tie_list type="checklist"]- Utilizați cât mai mult posibil plugin-uri și teme disponibile pe scară largă
Plugin-urile sunt, de obicei, responsabile pentru vulnerabilitățile de securitate din WordPress. Plugin-urile și temele sunt mici pachete software furnizate de furnizori terți. În principiu, ideea este bună, dar acum există mulți furnizori dubioși și furnizori care pur și simplu nu au cunoștințe și, prin urmare, creează programe care conțin găuri de securitate. Practic, nu există nicio protecție împotriva acestui lucru pentru profani. Prin urmare, vă recomandăm să folosiți numai plugin-uri care au fost deja instalate foarte des și care au un rating bun.
Nu folosiți teme gratuite pe care le puteți descărca de pe orice site web. Cumpărați o temă, de exemplu, de la Themeforest sau Templatemonster de la un așa-numit furnizor de elită, adică echipe de programatori profesioniști care au generat o cifră de afaceri mare.
Fiți atenți și la data ultimei instalări. Furnizorii care nu își actualizează plugin-urile și temele sau care au oprit deja dezvoltarea nu sunt recomandați.
[tie_list type="checklist"]- Ștergeți temele și plugin-urile nefolosite
Dacă site-ul dvs. este gata și doriți să începeți, vă recomandăm întotdeauna să ștergeți complet plugin-urile și temele nefolosite. Acest lucru este valabil și pentru temele proprii ale WordPress, care nu pot fi eliminate atât de ușor. Atacatorilor potențiali le place să-și ascundă fișierele în aceste directoare implicite, așa că este recomandabil să ștergeți complet fișierele nefolosite. Puteți face acest lucru prin intermediul interfeței de administrare sau prin FTP. Pur și simplu ștergeți directoarele din directorul de teme pe care nu le utilizați.
[tie_list type="checklist"]Utilizați un firewall de aplicații
[/tie_list]Dacă este posibil, ar trebui să utilizați un firewall pentru aplicații. Acesta este un software care verifică fiecare conexiune și oferă numeroase posibilități de prevenire a unor potențiale atacuri.
În cazul multor furnizori, există opțiuni gratuite, cum ar fi fail2ban (recomandat), mod_security Utilizați WAF pentru a bloca atacurile cunoscute sau adresele IP dubioase cunoscute. În cazul mediilor de găzduire partajată, adică al conturilor de găzduire mici, acest lucru nu este de obicei posibil, deoarece există prea multe caracteristici speciale care nu pot fi setate la nivel global. Pentru o utilizare profesională, vă recomandăm să folosiți în orice caz un V-server administrat, adică un mediu separat doar pentru site-ul dvs. web.
Cu unii furnizori premium, puteți utiliza și o soluție de firewall extern pentru site-ul dvs. web. Aici sunt disponibile, de exemplu, sisteme de la Barracuda, Sonicwall sau Imperva. Acestea filtrează traficul înainte ca acesta să ajungă la serverul web și blochează majoritatea atacurilor. Cu toate acestea, o astfel de soluție este relativ scumpă, cu 50-250 de euro pe lună, și este potrivită doar pentru uz profesional.
Concluzie: crearea unui site web este foarte ușoară cu WordPress. De asemenea, actualizarea automată pe care o oferă multe gazde web este utilă în comparație cu alte sisteme de gestionare a conținutului. Dacă vă asigurați întotdeauna că extensiile sunt actualizate (cel puțin o dată pe săptămână), atunci nu vi se pot întâmpla prea multe.
Ceea ce nu costă nimic este, de asemenea, inutil. Din păcate, acest lucru este valabil pentru multe pluginuri și teme. Vă rugăm să rețineți că mulți escroci infectează temele cu coduri malițioase și apoi le distribuie gratuit ca teme proprii. De îndată ce ați instalat așa ceva, site-ul dvs. va fi rapid folosit pentru a trimite Spam sau atacuri asupra altora.
