13 Mituri de securitate WordPress | Protejați-vă site-ul web de a fi piratat!

Publicat: 2019-03-23

Deși WordPress găzduiește o vastă comunitate de utilizatori din întreaga lume și este platforma de top de gestionare a conținutului, acel loc numărul unu pune o țintă pe spate și apar multe mituri de securitate WordPress.

Veți găsi o mulțime de sfaturi de securitate despre protejarea site-urilor dvs., precum și modalități de îmbunătățire a securității WooCommerce, dar acest lucru a condus la multe mituri care nu fac de fapt nimic benefic pentru protejarea site-ului dvs. Unele dintre aceste sfaturi pot chiar să-l lase mai vulnerabil la atacuri.

Mituri de securitate WordPress

Să examinăm primele 13 mituri de securitate WordPress și ce puteți face pentru a vă proteja corect site-ul WordPress.

1. Ascundeți paginile dvs. wp-admin sau wp-login și nimeni nu poate găsi adresa URL de autentificare

Logica din spatele acestei idei este împiedicarea potențialilor hackeri să pirateze lucruri pe care nu le pot găsi. Dacă adresa URL de autentificare nu este standardul WordPress / wp-admin / URL, nu sunteți protejat de atacurile de forță brută? În timp ce ascundeți adresa URL wp-admin vă poate ajuta să opriți unele atacuri, nu le va opri pe toate.

Motivul pentru care această strategie nu funcționează este că există și alte modalități de a vă conecta pe site-urile dvs. WordPress, în afară de modul normal de utilizare a browserului de internet, cum ar fi API REST sau XML-RPC. Acest lucru înseamnă că, chiar dacă modificați adresa URL de conectare WordPress , un plugin sau o temă pe care o utilizați se poate conecta în continuare la adresa URL modificată.

În timp ce ascunderea funcției backend este suficient de bună pentru a preveni majoritatea încercărilor de acces direct, cei care găsesc adresele URL personalizate wp-admin sau wp-login pot fi totuși redirecționați către paginile dvs. de conectare.

ascundeți adresa URL de conectare wordpress

Un alt motiv pentru care acest lucru nu funcționează este că ascunderea completă a backend -ului ar distruge site-ul dvs. Tot ceea ce instalați presupune că wp-admin va fi în URL.

Ascunderea adresei URL de conectare poate ascunde, dar nu poate schimba complet legătura reală către datele de conectare WordPress, iar personalizarea adresei URL de conectare poate cauza de fapt multe probleme, deoarece multe teme, pluginuri și aplicații codifică greu wp-login.php în cod de bază.

Dacă aceste pluginuri, teme etc. nu pot găsi linkul, vor găsi o eroare. O soluție mai fiabilă ar fi utilizarea autentificării cu doi factori și refuzul parolelor compromise.

2. Ascundeți numărul versiunii WordPress și numele temei pentru o protecție suplimentară

Ideea din spatele acestei tactici este că, dacă hackerii au aceste informații, le pot folosi pentru a accesa site-ul dvs.

Ascunderea informațiilor despre versiunea WordPress sau numele temei nu vă va feri de siguranță împotriva încălcărilor de securitate, deoarece există mulți roboți care caută vulnerabilități cunoscute în codul care rulează pe site-ul dvs. web.

ascunde numărul versiunii pluginului wordpress

În loc să ascundeți aceste informații, asigurați-vă că instalarea WordPress este întotdeauna actualizată pentru a vă asigura că aveți instalate cele mai recente patch-uri de securitate.

3. Redenumiți directorul wp-content și sunteți în siguranță

Pluginurile, temele și folderul de încărcare media sunt toate conținute în directorul wp-content de pe site-ul dvs. Există o mulțime de coduri și informații acolo pentru a le folosi, deci este, desigur, prudent să protejăm aceste informații.

Cu toate acestea, modificarea numelui directorului de conținut nu va adăuga efectiv acel strat suplimentar de protecție pe site-ul dvs. Folosind instrumentele de dezvoltare a browserului, numele conținutului dvs. wp poate fi găsit chiar dacă îl modificați.

redenumiți directorul de conținut wordpress

Redenumirea acestuia poate provoca chiar conflicte cu plugin-urile care au o cale de director wp-content codificată pe care trebuie să o folosească pentru a funcționa.

Singurul motiv pentru care ar trebui să fii îngrijorat de directorul tău de conținut wp este dacă acesta conține un plugin sau o temă cu o vulnerabilitate care poate fi exploatată. Cel mai bun mod de a preveni acest lucru este să vă mențineți temele și pluginurile actualizate pentru a evita vulnerabilitățile de securitate.

4. Hackingul se întâmplă numai site-urilor mari

Chiar dacă site-ul dvs. WordPress este mic cu trafic redus, este vital să fiți proactivi atunci când vine vorba de securizarea site-ului dvs.

Lui hacker nu îi pasă cât de mare sau ocupat este un site. Orice site vulnerabil poate deveni un hub pentru site-uri rău intenționate, e-mailuri spam sau chiar extragere de bitcoin. Cheia este mai degrabă vulnerabilitatea decât dimensiunea site-ului sau nivelurile de trafic.

Puteți atenua acest lucru ținând mereu la zi pluginurile, temele și WordPress în sine și instalați un plugin de securitate de încredere pentru WordPress. Găzduirea de calitate și autentificarea cu doi factori sunt, de asemenea, părți importante pentru a menține atacatorii la distanță.

5. WordPress nu este o platformă sigură

Este posibil să fi auzit această afirmație înainte, dar pur și simplu nu este adevărat. WordPress, fiind unul dintre cele mai bune sisteme de gestionare a conținutului online, nu a ajuns acolo unde este acum fără măsuri de securitate solide și fiabile.

Cea mai mare vulnerabilitate vine de la utilizatori și poate fi evitată cu măsuri de precauție luate de proprietarii de site-uri. Motivul numărul unu pentru hacks este un software depășit, iar majoritatea pluginurilor vor fi corecționate în mod regulat pentru a remedia potențialele vulnerabilități din codul lor.

Asigurați-vă că vă păstrați întotdeauna temele și pluginurile actualizate. Atunci când un site este piratat, nu este un defect WordPress - este o scădere a vigilenței unui utilizator care îi lasă deschise pentru atac .

6. Actualizările periodice vă protejează întotdeauna site-ul

Deși actualizarea regulată a pluginurilor și temelor dvs. este vitală pentru menținerea securității pe site-ul dvs., nu este un remediu pentru exploatarea potențială a site-ului dvs. WordPress are multe pluginuri și teme disponibile, iar un număr mare dintre ele nu a fost actualizat de doi sau mai mulți ani.

actualizare temă wordpress

Pluginurile care nu au primit o întreținere adecvată și regulată pot conține funcții învechite care vă încetinesc timpul de încărcare sau, și mai rău, vă sparg site-ul.

Verificați pentru a vă asigura că pluginurile dvs. primesc asistență activă pentru a vă menține în siguranță împotriva potențialelor exploitări și eliminați pluginurile vechi care nu mai primesc asistență pentru a minimiza riscul de piratare.

7. Copiile de rezervă vor rezolva întotdeauna site-ul dvs. web

Backupurile sunt una dintre cele mai comune soluții pentru remedierea site-urilor web compromise. În timp ce o copie de rezervă completă a site-ului (verificați cele mai bune pluginuri gratuite de copiere de rezervă WordPress) vă permite să vă restaurați site-ul, vă lasă aceleași vulnerabilități de securitate care v-au compromis site-ul.

  • Nume
  • Versiune gratuită
  • Versiune cu plată
    Cu upgrade-uri și completări suplimentare
  • Backup complet al site-ului
    Este posibil să faceți backup întregului site cu toate fișierele
  • Copii de rezervă ale bazelor de date
    Este posibil să faceți backup numai în baza de date
  • Copii de rezervă în Dropbox
    Este posibil să salvați fișiere de rezervă în Dropbox
  • Backupuri pe Amazon S3
    Este posibil să salvați fișiere de rezervă pe Amazon S3
  • Backupuri pe Google Drive
    Este posibil să salvați fișiere de rezervă pe Google Drive
  • Backupuri pe FTP
    Este posibil să salvați fișiere de rezervă pe FTP
  • Backup-uri pe Rackspace
    Este posibil să salvați fișierele de rezervă pe Rackspace
  • Notificare prin e-mail
    Notificare prin e-mail la crearea copiei de rezervă
  • Modifică numai copiile de rezervă
    Pentru a reduce resursele serverului și a economisi spațiu, doar modificările noi sunt adăugate la backup
  • Backup-uri programate
  • Backupuri în timp real
    Fișierele de rezervă sunt create ori de câte ori faceți modificări pe site-ul dvs.
  • Migrați site-ul
    Copiați site-ul sau mutați-l la o nouă gazdă
  • Restaurarea fișierului individual
    Restabiliți fișierele / fișierele individuale din copie de rezervă în loc de totul
  • Restabiliți backupul din interfață
  • Securitate și scanare malware
    Opțiuni pentru depistarea virușilor și a altor infecții
  • Repararea și optimizarea bazei de date
    Opțiuni pentru optimizarea bazei de date wordpress
  • Suport multisite
  • Preț pentru versiunea plătită
    Cu toate completările și funcțiile (cel mai ieftin plan pentru 1-2 site-uri)
  • BackWPup
    De asemenea, are versiune premium / plătită, cu suplimente și upgrade-uri suplimentare
  • Numai în versiune cu plată
  • 75 $
    Pentru plan standard
VERIFICA
  • BackUpWordPress
    De asemenea, are versiune premium / plătită, cu suplimente și upgrade-uri suplimentare
  • Disponibil numai cu supliment plătit cu un preț de aproximativ 24 USD
  • Disponibil numai cu supliment plătit cu un preț de aproximativ 24 USD
  • Disponibil numai cu supliment plătit cu un preț de aproximativ 24 USD
  • Disponibil numai cu supliment plătit cu un preț de aproximativ 24 USD
  • Disponibil numai cu supliment plătit cu un preț de aproximativ 24 USD
  • 60 $
    Pentru plan personal
VERIFICA
  • UpdraftPlus
    De asemenea, are versiune premium / plătită, cu suplimente și upgrade-uri suplimentare
  • Disponibil numai cu supliment plătit, cu un preț de aproximativ 15 USD
  • Addon plătit
    Disponibil numai cu supliment plătit cu un preț de aproximativ 30 USD
  • Addon plătit
    Disponibil numai cu supliment plătit cu un preț de aproximativ 25 USD
  • 99 $ (număr nelimitat de site-uri)
    Pentru planul dezvoltatorului cu toate suplimentele și pentru un număr nelimitat de site-uri
VERIFICA

Deci, cum remediați acest lucru? Nu vă bazați numai pe copiile de rezervă pentru a vă remedia site-ul după un hack de succes, deoarece veți pierde date și înregistrări, cum ar fi tranzacțiile care au avut loc după ultima copie de rezervă.

Pentru a vă salva informațiile, fiți vigilenți cu privire la aplicarea patch-urilor la defectele reale ale codului înainte de a putea fi pradă unei încercări de hacking reușite.

8. Schimbarea prefixului tabelului WordPress vă îmbunătățește securitatea

Aceasta este o recomandare obișnuită. Schimbarea prefixului tabelelor bazei de date WordPress va preveni atacurile de injecție SQL. Cu toate acestea, nu este la fel de simplu ca schimbarea „wp_” la o valoare diferită.

Nu trebuie să existe încă nicio dovadă că această metodă va face orice pentru a vă îmbunătăți securitatea site-ului. Și vă poate pune întregul site în pericol dacă nu este executat perfect.

modificați prefixul bazei de date wordpress

Măsuri de acest gen sunt considerate „teatru de securitate”, deoarece te fac să simți că depui eforturi mari pentru a-ți îmbunătăți securitatea, realizând în același timp foarte puțin. Pentru a vă proteja site-ul împotriva atacurilor de injecție SQL , este nevoie de o abordare a securității în trei direcții.

Veți avea nevoie de un paravan de protecție pentru aplicații web eficient, pe lângă corecția și actualizarea continuă a pluginurilor, temelor și nucleului dvs. Și, desigur, asigurați-vă că vă monitorizați site-ul pentru încercări de conectare suspecte sau malware.

9. Site-ul meu are un certificat SSL, deci este complet sigur

Ceva de reținut despre certificatele SSL este că securitatea pe care o oferă este pur tranzacțională. Protejează doar informațiile transmise între site-ul dvs. și vizitatorii dvs. - lucruri precum informații despre cardul de credit și date personale (consultați cum să adăugați certificat SSL gratuit pe site-ul WordPress).

instalați certificatul ssl wordpress

Cu toate acestea, certificatele SSL nu protejează fișierele și datele care se află pe site-ul în sine . Pentru a acoperi datele site-ului dvs., este vital să aveți un firewall pentru aplicații web și să vă asigurați că pluginurile, temele și fișierele principale sunt actualizate.

10. Site-ul meu este sigur; Folosesc firewall CDN sau cloud

Rețelele de livrare a conținutului sau CDN-urile și serviciile de firewall cloud, cum ar fi Cloudflare, Incapsula sau Sucuri, vă securizează site-urile redirecționând traficul către serverele lor și filtrând traficul după regulile firewall-ului. Dacă traficul dvs. este compatibil cu regulile firewall-ului, acesta merge pe site-ul dvs.

Deși s-ar putea să credeți că aceasta este modalitatea perfectă de a evita expunerea locației reale a serverului site-ului dvs., adresa IP originară a site-ului dvs. vă poate oferi în continuare și poate fi dificil de ascuns, dacă nu chiar imposibil.

Wordpress-CDN-furnizori-comparație
  • Rețea de livrare de conținut
  • Protecție împotriva celor mai mari atacuri volumetrice
  • Vizibilitate completă a stratului de aplicație
  • Atenuarea atacurilor împotriva serverelor DNS
  • Protecția serviciilor de infrastructură non-web
    (FTP, SMTP, VOIP etc.)
  • Detectarea și atenuarea atacurilor Application Layer
  • Personalizarea instantanee și propagarea regulilor de securitate
  • Vizibilitate și control în timp real
  • Protecția adreselor IP de origine împotriva atacurilor DDoS
  • Monitorizarea atacului DDoS extern pentru infrastructura de rețea
  • Compresie și minificare
  • Optimizarea conținutului și a rețelei
  • Memorarea în cache a conținutului atât static, cât și generat dinamic
  • Servirea resurselor cache direct din memoria fizică
  • Memorarea în cache a nivelului secundar pe SSD-uri pentru actualizări de cache în timp real
  • Firewall pentru aplicații web (WAF) conforme cu PCI
  • Controlul accesului
  • Sistem de monitorizare bazat pe reputația IP
  • Self Service Personalizarea regulilor de securitate
  • Propagarea regulii de securitate de 60 de secunde
  • Protecție în spate pentru a proteja împotriva infecțiilor malware
  • Integrare API
  • Autentificare cu doi factori pentru a preveni parolele furate
  • Echilibrarea globală a încărcării serverului
  • Stratul aplicației Echilibrarea încărcării serverului local
  • Trecerea la eșec a site-ului stratului de aplicație
  • Monitorizarea stării de sănătate a aplicațiilor în timp real
  • Reguli de livrare a cererii
    (de ex. redirecționări bazate pe cookie-uri, antet etc.)
  • Sistem de bilete
  • Asistență telefonică
  • Suport HTTP / 2
    HTTP / 2 este cea mai recentă evoluție a protocolului HTTP, care oferă îmbunătățiri semnificative ale vitezei de încărcare a site-ului web și a capacității de răspuns.
  • Centre de date
  • Origin-Pull
  • Push (încărcați pe serverele CDN)
  • Purge / Purge all
  • Gzip
  • Onorează toate anteturile serverului de origine
  • Poate suprascrie anteturile serverului de origine
  • Setați anteturile de cache pentru fișierele împinse
  • CNAME personalizate
  • HTTPS
  • Protecție Hotlink
  • Chat live
  • Copii de rezervă gratuite
  • Integrare cu WordPress
  • Preț
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • Incapsula
  • Mereu pe
  • 30
  • Retrimiteți de la origine sau comprimați pe margine
  • Certificatul partajat este gratuit pentru toți, cu excepția planului gratuit.
  • Certificatul partajat este gratuit pentru toți, cu excepția planului gratuit.
  • Se integrează independent de WordPress. Trebuie să modificați setările DNS. Veți primi toate instrucțiunile în e-mail și pe tabloul de bord Incapsula.
  • Planuri gratuite și plătite
    Un plan gratuit include protecție împotriva botului, control acces, protecție conectare, CDN și Optimizer, analize de site-uri web și asistență comunitară. Un plan PRO plătit începe de la 59 USD pe lună și include aceleași caracteristici ca și planul gratuit, plus suport SSL, performanță avansată și asistență prin e-mail.
Incapsula
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • CloudFlare
  • Manual
  • 86
  • Se integrează independent de WordPress. Trebuie doar să cântați la CloudFlare și apoi să atribuiți noi servere DNS numelui de domeniu. CloudFlare preia de acolo.
  • Planuri gratuite și plătite
    Acestea oferă un plan de bază gratuit, potrivit pentru site-uri web mici și bloguri și pachete plătite, care variază între 20 și 200 USD.
CloudFlare CDN
akamai-vs-incapsula-vs-maxcdn
  • Akamai
  • Peste 100.000
  • Retrimiteți de la origine sau comprimați pe margine
  • Pentru a obține prețuri pentru produsele Akamai, trebuie să le contactați.
Akamai
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • MaxCDN
  • MaxCDN va începe în curând să ofere DDOS și WAF
  • MaxCDN va începe în curând să ofere DDOS și WAF
  • MaxCDN va începe în curând să ofere DDOS și WAF
  • MaxCDN va începe în curând să ofere DDOS și WAF
  • MaxCDN va începe în curând să ofere DDOS și WAF
  • MaxCDN va începe în curând să ofere DDOS și WAF
  • MaxCDN va începe în curând să ofere DDOS și WAF
  • 75
  • CDN se ocupă de gzip
  • După configurarea zonei de tragere, puteți integra MaxCDN prin pluginul cache. De exemplu W3 Total Cache, Super Cache sau WP Rocket.
  • Începând de la 9 USD / lună până la 299 USD / lună
    Există, de asemenea, prețuri personalizate pe gigabyte
MaxCDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • KeyCDN
  • 25
  • Numai dacă serverul de origine face Gzip
  • După setare, vă puteți integra prin pluginul cache. De exemplu W3 Total Cache, Super Cache sau WP Rocket.
  • Pay As You Go
    Nu este nevoie să cumpărați pachete. Prețul începe de la 0,04 USD / GB
KeyCDN

Aceasta a fost o problemă obișnuită cu furnizorii de firewall în cloud, iar soluția simplă este implementarea măsurilor de securitate a punctelor finale pe site-ul dvs. Dacă vă protejați datele la punctul de origine, aceasta este cea mai bună apărare directă împotriva hackerilor și a altor forme de atac.

11. Blocarea IP ține hackerii la distanță

Există servicii utile online pentru înregistrarea autentificărilor suspecte și urmărirea adreselor IP și chiar pot bloca aceste IP-uri în întregime.

Deși s-ar putea să credeți că blocarea IP este o metodă eficientă de a împiedica accesul hackerilor la site-ul dvs., hackerii schimbă constant IP-urile și operează adesea din mai multe IP-uri simultan pentru a-și atinge obiectivele.

Când blocați o adresă IP, acestea pot trece pur și simplu la următoarea pe care au aliniat-o. Și mai rău, dacă nu blocați corect IP-urile, puteți să vă blocați site-ul, ceea ce poate fi nevoie de timp pentru a remedia.

12. Un nume de utilizator și o parolă sigure sunt tot ce aveți nevoie

În timp ce un nume de utilizator unic de administrator și o parolă complexă și puternică sunt vitale pentru securitatea adecvată pe site-ul dvs., nu este o metodă infailibilă pentru a contracara potențialii hackeri.

O tactică obișnuită care este utilizată pentru încălcarea site-urilor este utilizarea robotilor pentru a parcurge mii de parole comune cu numele de utilizator standard „administrator”.

Asigurați-vă că vă schimbați numele din administrator și încorporați mai multe tipuri de caractere în parolă , inclusiv majuscule și minuscule, cifre, punctuație și alte simboluri unice care vor face mai greu de spart.

Rețineți, totuși, că o combinație eficientă de nume de utilizator / parolă nu va proteja de toate. Hackerii au alte mijloace de a vă ataca site-ul, inclusiv prin vulnerabilități în teme sau pluginuri învechite, încălcări de date și chiar scheme de phishing.

13. Doar dezactivați pluginurile / temele pe care nu le utilizați

Aceasta este o greșeală obișnuită pe care o fac mulți proprietari de site-uri. În loc să elimine pluginurile vechi, acestea le dezactivează. Cu toate acestea, chiar și pluginurile și temele inactive pot fi exploatate din cauza lipsei de actualizări sau remedieri de securitate.

În timp ce puteți actualiza pluginurile și temele dezactivate, opțiunea mai bună este să eliminați lucrurile de care nu aveți nevoie pentru a minimiza riscurile de securitate.

Concluzii despre miturile de securitate WordPress

Există multe motive pentru care site-urile WordPress sunt piratate. După ce ați citit aceste mituri de securitate WordPress, optimizarea securității pe site-ul dvs. se poate simți puțin descurajant. Nu este întotdeauna ușor de spus dacă măsura de securitate va fi eficientă și ceea ce este pur și simplu „teatru de securitate”.

Păstrarea sigură a site-ului dvs. WordPress este foarte importantă, precum și prevenirea furtului de conținut. Deși nu există nicio modalitate de a vă asigura că un site va fi 100% invulnerabil la atacuri, există o mulțime de practici și precauții pe care le puteți încorpora în gestionarea și întreținerea site-ului dvs., care pot reduce la minimum riscul de piratare și vă pot oferi liniștea sufletească.

Pentru a fi în siguranță, cel mai bine este să instalați un plugin de securitate WordPress, cum ar fi iThemes Security, WordFence, MalCare, Swift Security sau Hide My WP, care oferă un număr mare de setări și opțiuni pe care le puteți activa pentru a vă proteja site-ul web și a implementa straturile de securitate. Pentru mai multe informații, consultați iThemes Security review, MalCare review, Wordfence vs iThemes Security, Swift Security vs Hide My WP.