Păstrarea site-ului dvs. WordPress în siguranță împotriva hackerilor în 2021

Peste 100.000 de site-uri web sunt vizate de hackeri în fiecare zi! Din acest motiv, este crucial să vă păstrați site-ul WordPress în siguranță. Site-ul dvs. web ar putea fi unul dintre acele site-uri web la un moment dat. WordPress este destul de sigur. Cu toate acestea, multe site-uri WordPress sunt victimele hacking-ului. Acest lucru este mai puțin legat de WordPress în sine și mai mult de modul în care, în calitate de webmaster, aveți grijă de site-ul dvs. și vă configurați securitatea.

Chiar dacă v-ați asigurat că site-ul dvs. a fost securizat atunci când l-ați lansat, țineți pasul cu întreținerea securității vă va asigura că site-ul dvs. este protejat corespunzător în orice moment.

Înainte de a începe, este o idee bună să cunoaștem unele dintre problemele comune de securitate pe care le au site-urile WordPress:

• Atacuri de forță brută - Atacurile de forță brută sunt motivul pentru care este important să ai o parolă puternică. Un atacator va introduce informații de conectare de mai multe ori până când va obține combinația potrivită de autentificare pentru a accesa site-ul dvs. WordPress.
• Malware - Abreviere pentru software rău intenționat, malware este un cod care este utilizat pentru a obține acces neautorizat la un site web pentru a colecta date sensibile aparținând proprietarului afacerii și clienților sau contactelor acestora.
• Exploitele de includere a fișierelor - Exploitele de incluziune a fișierelor se întâmplă atunci când codul nesigur este utilizat pentru a încărca fișiere la distanță, ceea ce va oferi hackerilor acces la site-ul dvs. web. Acest lucru le va oferi, de asemenea, acces la fișierul dvs. wp-config.php, care este în esență coloana vertebrală a instalării dvs. WordPress. Dacă acest fișier este compromis, hackerii pot accesa informațiile de conectare la baza de date și securitatea criptării.
• Injecții SQL - injecțiile SQL sunt un atac asupra bazei de date WordPress, prin care atacatorul obține acces la baza dvs. de date și, prin urmare, la datele dvs. Când se întâmplă acest lucru, atacatorul va putea adăuga și modifica datele, care pot include link-uri rău intenționate și spam.
• Cross Site Scripting - Cross Site Scripting este cea mai frecventă problemă cu pluginurile și funcționează de către un atacator găsind o modalitate de a determina victima să încarce fără să știe paginile web cu scripturi javascript nesigure.

Ce se întâmplă când securitatea dvs. este compromisă?

Hackerii vă pot fura datele și orice date aparținând clienților dvs., lăsând aceste date expuse. Programele malware ar putea fi distribuite de pe site-ul dvs. vizitatorilor dvs., ceea ce vă poate afecta clasamentul SEO, precum și reputația mărcii dvs. Și, în sfârșit, întregul site ar putea fi șters, ceea ce, dacă nu este făcut backup, ar putea provoca probleme serioase.

Acum, marea întrebare este: cum puteți face site-ul dvs. sigur de hackeri? Pentru site-urile WordPress există mai multe moduri în care vă puteți face site-ul web mai sigur. În acest ghid, vă voi arăta câteva dintre modificările de securitate de bază pe care le puteți face, până la caracteristicile de securitate WordPress mai aprofundate. Hai să ne scufundăm.

Ce sunt setările de securitate de bază?

Majoritatea site-urilor nu au nici măcar elementele de bază acoperite, ceea ce asigură o protecție destul de neglijentă. Aici vom acoperi lucrurile de bază pe care le puteți face pentru a vă întări securitatea WordPress.

1. Acreditări puternice

Poate părea o prostie, dar să vă asigurați că aveți o parolă puternică este prima linie de apărare. Astăzi, oamenii încă folosesc parole precum Password123, care oferă o protecție foarte mică. Poate fi tentant să vă folosiți numele de utilizator sau chiar adresa de e-mail ca parolă, dar nu!

O parolă puternică va fi diferită de numele dvs. de utilizator și / sau de e-mail și va include majuscule, precum și litere mici, cifre și caractere speciale (de exemplu!, *,%).

În mod similar, ați putea fi surprins să aflați că mulți oameni folosesc administratorul ca nume de utilizator. Dacă ești, este timpul să o schimbi.

2. Găzduire securizată care utilizează o conexiune securizată

Gazdele web sunt responsabile pentru securitatea site-ului dvs. web la fel de mult ca și dvs. În prezent, găzduirea este furnizată prin găzduire cloud sau găzduire partajată (verificați cele mai bune opțiuni de găzduire WordPress ieftine). Găzduirea în cloud găzduiește mai multe site-uri web pe mai multe servere, în timp ce găzduirea partajată va găzdui mai multe site-uri web pe un singur server.

Găzduirea în cloud este apreciată pentru nivelul său ridicat de fiabilitate și securitate, deoarece nu necesită partajarea resurselor limitate pe mai multe site-uri. Aceasta este problema cu pornirea găzduirii partajate și atunci când gazdele acumulează mai multe site-uri web decât serverul poate gestiona, acest lucru lasă site-urile vulnerabile.

Asta nu înseamnă că găzduirea partajată este rea. Gazdele responsabile vor folosi întotdeauna o conexiune sigură și nu vor oferi niciodată unui server mai mult decât poate suporta. Acum ar putea fi un moment bun pentru a vă verifica gazda și a afla dacă trebuie să faceți o schimbare.

3. Autentificare cu doi factori

O soluție simplă de securitate este de a activa autentificarea în doi factori la conectarea la tabloul de bord. Acest lucru va adăuga un strat suplimentar de securitate site-ului dvs. web și este foarte ușor de activat în setările dvs.

Autentificarea este de obicei un cod prin SMS sau e-mail. Unii consideră că este enervant să trebuiască să facă un pas suplimentar pentru a vă conecta, dar merită pentru o protecție suplimentară.

3. Certificate SSL

Nu sunteți sigur dacă site-ul dvs. are un certificat SSL? Un site care are un SSL va include https: / la începutul adresei lor web și adesea browserul dvs. va spune că site-ul este nesigur. Certificatele SSL permit vizitatorilor web să știe că site-ul dvs. este sigur, astfel încât datele lor să fie protejate atunci când îl utilizați.

Majoritatea furnizorilor de găzduire includ acum certificate SSL în costurile de abonament, dar dacă nu aveți unul, puteți plăti unul prin gazda dvs. sau puteți utiliza certificatul Let's Encrypt gratuit (consultați cum să adăugați manual SSL gratuit pe site-ul WordPress).

În calitate de proprietar al site-ului web, ar trebui să verificați diferite tipuri de SSL în timp ce selectați un certificat SSL pentru site-ul dvs. De exemplu, dacă un site web de comerț electronic are mai multe subdomenii, atunci ar trebui să vă gândiți să obțineți un certificat SSL wildcard.

Există multe mărci de certificate de renume disponibile care vă pot ajuta să stabiliți încrederea pe site, cum ar fi AlphaSSL, Comodo, GlobalSign, DigiCert. Puteți alege pe oricine, deoarece toate mărcile de renume servesc certificate SSL autentificate.

4. Faceți backup site-ului dvs.

Indiferent cât de puternică este securitatea site-ului dvs., acesta nu va fi niciodată 100% antiglonț. Din acest motiv, copierea de rezervă a site-ului dvs. (consultați pluginurile de rezervă WordPress comparate) este una dintre necesitățile absolute în securitatea site-ului web. Dacă apare inevitabilul, puteți fi sigur că nu va trebui să vă porniți site-ul de la zero.

Puteți utiliza un plugin de rezervă precum Duplicator (vedeți cum să migrați site-ul WordPress utilizând Duplicator), BackupBuddy (verificați BackupBuddy review), WPvivid (consultați WPvivid review), 10Web backup (verificați 10Web review) etc.

Un alt mod în care vă puteți salva datele este prin sincronizarea oricăror aplicații sau software pe care le utilizați aceleași date. De exemplu, vă puteți salva contactele sincronizând Mailchimp și Office 365, acest lucru vă va permite să păstrați datele de contact în siguranță.

5. Pluginuri și teme

Site-urile WordPress funcționează pe teme și o mulțime de pluginuri care necesită, de asemenea, actualizări. Aceste actualizări sunt imperative pentru a menține site-ul dvs. funcționând fără probleme, dar și pentru a remedia orice erori sau probleme din cadrul software-ului lor. Atât de multe companii au site-uri web care rulează pe versiuni mai vechi de software și nici măcar nu știu asta.

O altă problemă este utilizarea temelor și pluginurilor nule, acestea conțin cod modificat și nu sunt de încredere. Utilizarea pluginurilor anulate vă poate pune site-ul în pericol.

6. Actualizați versiunea PHP

Orice site care rulează o versiune foarte veche de PHP este expus riscurilor de securitate. Un PHP depășit vă poate lăsa site-ul WordPress vulnerabil. Este o idee bună să verificați dacă a dvs. rulează pe cea mai recentă versiune PHP. Puteți găsi versiunea dvs. verificând solicitarea de antet de pe site-ul dvs., utilizând un plugin diferit sau prin cPanel dacă găzduirea dvs. o folosește.

7. Strângeți zona de administrare

Zona de administrare WordPress oferă în esență utilizatorului posibilitatea de a accesa și de a efectua anumite sarcini pe site-ul dvs. și este adesea lăsată neprotejată. Din acest motiv, este zona cea mai frecvent vizată a unui site WordPress.

Puteți întări securitatea în acest sens adăugând măsuri suplimentare de autentificare în directorul de administrare. Puteți adăuga autentificare cu doi factori și puteți limita încercările de conectare pentru a adăuga un alt nivel de securitate și a descuraja hackerii.

Puteți face un pas mai departe și puteți schimba adresa URL de autentificare WordPress. Adresa URL implicită pentru site-urile WordPress este domain.com/wp-admin sau /login.php, ceea ce face mai ușor pentru hackeri să încerce atacuri cu forță brută asupra datelor de conectare ale administratorului.

Deși nu este o soluție imensă de securitate, schimbarea adresei URL face dificilă accesarea atacatorilor pe site. Vă puteți schimba adresa URL de conectare utilizând un plugin precum iThemes Security (consultați comparația iThemes Security vs WordFence), Hide My WP (verificați performanța Swift vs Hide My WP) etc.

Cum să implementăm o securitate mai puternică?

Iată câteva recomandări pentru un nivel mai ridicat de securitate pentru site-ul WordPress.

1. Instalați un plugin de securitate WordPress

S-ar putea să vă întrebați dacă există un plugin inteligent pe care îl puteți instala pentru a vă ajuta să faceți din securitate o greutate de pe umeri și veștile bune sunt că există multe. Avantajul utilizării acestor pluginuri este diferitele caracteristici ale acestora, precum și opțiunea de a scana instalarea WordPress pentru orice fișiere modificate care pot indica o încercare de hacking. Aceste pluginuri au, de asemenea:

• Informații WHOIS despre vizitatorii site-ului
• Autentificare cu doi factori
• reCAPTCHAs
• Scanare malware
• Expirarea parolei - forțându-vă să vă resetați parola după un timp stabilit.
• Firewall-uri de securitate WordPress

Deși este posibil să nu vă rezolve toate problemele de securitate, un plugin vă poate ajuta să adăugați un alt strat de apărare și să preveniți încercările de hacking. Vă recomandăm să luați în considerare următoarele pluginuri: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (consultați recenzia MalCare) etc.

2. Ascundeți versiunea dvs. de WordPress

Cu cât sunt disponibile mai puține informații despre dvs. și despre configurația site-ului dvs. web, cu atât este mai greu pentru hackeri să vă direcționeze. Ascunderea versiunii site-ului dvs. va împiedica hackerii să vă identifice site-ul ca rulând pe o versiune mai veche.

O soluție mai simplă este să vă asigurați că site-ul dvs. web este mereu actualizat, dar dacă doriți să luați măsuri de precauție, vă puteți ascunde versiunea WordPress adăugând cod la fișierul functions.php al temei dvs.

3. Permisiuni de fișiere

Permisiunile de fișiere sunt un set de reguli utilizate de serverul dvs. web pentru a controla accesul la fișierele de pe site-ul dvs. Dacă aveți permisiuni greșite, puteți opri funcționarea site-ului dvs., dar pot permite, de asemenea, hackerilor să acceseze, să rescrie și să schimbe aceste fișiere.

Valorile recomandate pentru permisiunile de fișiere sunt după cum urmează: Toate fișierele ar trebui să fie setate la 644 și toate directoarele ar trebui să fie setate la 755 sau 750. Directoarele nu ar trebui să fie setate niciodată la 777.

4. Securitatea bazei de date

Baza de date va fi denumită oricare ar fi numele site-ului dvs. web. Deci, dacă site-ul dvs. este numit richie rich, baza de date va fi denumită wp_richierich. Schimbând acest lucru cu ceva fără legătură, acesta împiedică hackerii să-ți poată ghici numele bazei de date.

Un alt mod prin care puteți strânge securitatea este prin schimbarea prefixului implicit al tabelului WordPress. În mod implicit, WordPress a folosit wp_ ca prefix pe care îl folosește pentru a crea baza de date. În timpul instalării puteți modifica acest prefix și vă recomandăm să faceți acest lucru pentru a face mai greu pentru hackeri să vă ghicească numele bazei de date.

5. Prevenirea DDoS

DDoS este un tip de atac de respingere a serviciului care nu dăunează site-ului dvs. web, dar îl dă jos site-ului timp de ore sau chiar zile. Deși acest lucru nu poate provoca vătămări site-ului dvs. web, acesta vă poate afecta afacerea dacă vă bazați pe faptul că site-ul dvs. web este pe deplin operațional în orice moment. Puteți preveni un atac DDoS utilizând securitate terță parte, cum ar fi Securi sau Cloudflare.

6. Protejați-vă fișierul wp-config.php

După cum am menționat anterior, fișierul wp-config.php este cel mai important fișier din instalarea dvs. WordPress. Dacă este compromis, hackerul poate obține datele de conectare la baza de date, ceea ce le va oferi acces complet la site-ul dvs. web.

Acest lucru ar putea părea înfricoșător, dar nu vă faceți griji, puteți întări securitatea fișierului wp-config.php modificând permisiunile fișierului. Fișierele din directorul rădăcină sunt de obicei setate la 644, ceea ce permite proprietarului să citească și să scrie fișierele și poate fi citit de utilizatorii din proprietarul grupului și de toți ceilalți.

Dacă doriți să refuzați accesul la alte utilizări, fișierele ar trebui să fie setate la 440 sau 400. Merită să aveți în vedere faptul că anumite platforme de găzduire vor avea permisiuni diferite. Acest lucru se datorează faptului că utilizatorul nu are permisiunea de a scrie fișierele. În acest caz, este o idee bună să contactați furnizorul dvs. de găzduire pentru a fi siguri care sunt permisiunile.

Păstrarea sigură a site-ului dvs. WordPress

Există multe motive pentru care site-urile WordPress sunt piratate. Curățarea unui site WordPress piratat nu este imposibilă, dar luând măsuri preventive, vă puteți reduce șansele de a avea un site pirat, astfel încât să nu vă faceți griji cu privire la curățarea site-ului dvs. sau, în cel mai rău caz, construirea unui nou site-ul web.