16 sfaturi de securitate WordPress pentru a vă menține site-ul în siguranță (2023)

Aveți nevoie de o listă completă de sfaturi de securitate WordPress care să vă protejeze site-ul de pericolele comune pentru care este cunoscut WordPress.

În această postare, veți găsi peste o duzină de sfaturi de securitate de bază și avansate pe care le puteți implementa pentru a vă proteja site-ul de vulnerabilități și hack-uri.

Iată sfaturile de securitate WordPress pe care le vom acoperi în această postare:

1. Alegeți o gazdă WordPress de calitate.
2. Gestionați nucleul, temele și pluginurile WordPress.
3. Instalați un plugin de securitate WordPress.
4. Instalați un plugin de rezervă.
5. Alegeți cu atenție temele și pluginurile terță parte.
6. Aflați despre rolurile utilizatorilor WordPress și permisiunile acestora.
7. Implementați protocoale de protecție pe pagina de conectare backend a site-ului dvs.
8. Utilizați nume de utilizator și parole sigure.
9. Activați un certificat SSL pentru site-ul dvs.
10. Dezactivați editarea fișierelor.
11. Dezactivați execuția PHP.
12. Schimbați prefixul bazei de date WordPress.
13. Asigurați-vă fișierul wp-config.php.
14. Redenumiți pagina de conectare WordPress.
15. Dezactivează navigarea în directoare.
16. Deconectați-vă utilizatorii inactivi.

Ne-am organizat în două liste separate: sfaturi de bază de securitate și sfaturi avansate de securitate.

Să începem de la început cu sfaturi de bază de securitate.

Sfaturi de bază de securitate WordPress pentru toți utilizatorii

1. Alegeți o gazdă WordPress de calitate

Totul începe aici.

Dacă nu alegeți o gazdă WordPress de calitate, cu o reputație de renume, site-ul dvs. va fi vulnerabil la atacuri, indiferent de cât de multă securitate implementați în WordPress.

În timp ce site-ul dvs. este format din cod, acel cod există în interiorul fișierelor, fișiere care trebuie instalate pe un server web.

Cel puțin, alegeți o gazdă care este cunoscută pentru menținerea serverelor rapide și sigure, menținând tehnologia de server actualizată și oferind acces la cele mai recente versiuni PHP.

Folosim Cloudways pentru a găzdui Blogging Wizard. Este rapid și accesibil. Scalabilitatea sa este și un factor important, deoarece primim mult trafic.

Acestea oferă următoarele caracteristici de securitate:

• Un supliment Cloudflare Enterprise care implementează protecție DDoS și un firewall pentru aplicații web (WAF).
• Firewall-uri pentru server.
• Securitate autentificare.
• Securitatea bazei de date.
• Protecție împotriva botului.
• Certificate SSL gratuite.
• Managementul rolului utilizatorului.
• Management securizat al sistemului de operare.
• Autentificare cu doi factori.

Cu toate acestea, în ceea ce privește securitatea WordPress, s-ar putea să vă fie mai bine cu o gazdă WordPress gestionată, mai ales dacă nu sunteți un utilizator WordPress avansat.

Găzduire WordPress gestionată

Găzduirea WordPress gestionată este o formă de găzduire WordPress în care gazda dumneavoastră gestionează o mulțime de aspecte ale întreținerii unui site WordPress pentru dvs.

Aceasta include de obicei aspecte ale securității WordPress.

Iată un exemplu de utilizare a noastră cea mai recomandată gazdă gestionată WordPress WPX Hosting. Acest furnizor de găzduire oferă următoarele caracteristici de securitate:

• Eliminarea programelor malware inclusă în toate planurile.
• Site-ul remediat dacă site-ul dvs. este offline.
• Protecție DDoS.
• Backup-uri automate cu stocare pentru până la 28 de zile de backup.
• CDN proprietar cu 35 de locații marginale.
• Certificate SSL gratuite.
• O zonă de pregătire pentru a testa actualizările înainte de a le transmite live.
• Autentificare cu doi factori.
• Securitate avansată a contului care vă permite să limitați accesul la contul dvs. de găzduire WPX la nivel hardware.

2. Gestionați corespunzator nucleul, temele și pluginurile WordPress

După cum am spus, site-ul dvs. WordPress este format din fișiere și cod. Acestea includ teme WordPress și pluginuri WordPress, precum și WordPress însuși, care este cunoscut sub numele de „nucleul WordPress”.

La fel ca aplicațiile pentru computer și telefon pe care le utilizați, fișierele WordPress primesc actualizări regulate pentru a implementa noi funcții și remedieri de securitate.

Acesta este motivul pentru care este imperativ să mențineți WordPress în sine și temele și pluginurile dvs. actualizate cât mai des posibil. Dacă nu faceți acest lucru, site-ul dvs. poate fi expus la defecte de securitate devastatoare.

Ar trebui să încercați întotdeauna să utilizați cea mai recentă versiune WordPress pe site-ul dvs.

Din fericire, WordPress implementează deja actualizările de securitate de urgență în mod automat și puteți configura și actualizări automate pentru WordPress.

Cu toate acestea, cel mai bine este să faceți manual majoritatea actualizărilor WordPress printr-o zonă de pregătire (cum ar fi cea pe care WPX Hosting vă permite să o creați), astfel încât să puteți testa modificările pe care acele actualizări le fac site-ului dvs. într-un mediu controlat înainte de a le împinge în versiunea de producție live a Site-ul tău.

Una peste alta, rezervați un timp în fiecare săptămână pentru a verifica, testa și aplica actualizările WordPress pe site-ul dvs. pentru a-l menține cât mai sigur posibil.

De asemenea, asigurați-vă că eliminați temele și pluginurile pe care nu le mai utilizați.

Activarea actualizărilor automate pentru teme și pluginuri

Puteți activa actualizările automate WordPress pentru teme și pluginuri fără un plugin în interiorul WordPress.

Pentru teme, accesați Aspecte → Teme, faceți clic pe o temă și faceți clic pe butonul Activare actualizări automate.

Activarea actualizărilor automate pentru pluginuri funcționează în același mod.

Accesați Pluginuri → Pluginuri instalate și faceți clic pe butonul Activare actualizări automate pentru orice plugin pentru care doriți să activați actualizările automate.

Puteți chiar să utilizați opțiunea în bloc pentru a activa actualizările automate pentru toate pluginurile dintr-o singură mișcare.

3. Instalați un plugin de securitate WordPress dedicat

Dacă nu găzduiți site-ul dvs. WordPress cu o gazdă WordPress gestionată, cel mai bun pariu este să utilizați un plugin de securitate WordPress dedicat.

Vă recomandăm pluginurile de securitate WordPress MalCare sau Sucuri.

MalCare implementează următoarele caracteristici în site-ul dvs. WordPress:

• Scaner de programe malware.
• Eliminarea programelor malware.
• Firewall creat personalizat pentru WordPress.
• Protecție de conectare.
• Monitorizare uptime.
• Copii de rezervă incrementale și restaurări ale site-ului cu un singur clic.
• Protecție împotriva botului.
• Scanner de vulnerabilitate.
• Jurnal de activitate care vă permite să identificați comportamentul suspect.
• Alerte prin e-mail despre programe malware și vulnerabilități.

Sucuri oferă și multe dintre aceste funcții, dar este cunoscut în principal pentru funcțiile sale de scanare și eliminare a malware-ului, precum și pentru capacitatea sa de a implementa un firewall pentru a vă proteja site-ul WordPress.

MalCare este mai accesibil decât Sucuri și include chiar și un plan gratuit limitat.

4. Instalați un plugin pentru spate WordPress

Backup-urile oferă una dintre cele mai bune modalități de a vă securiza site-ul web în cazul în care alte aspecte de securitate eșuează.

Dacă site-ul dvs. este piratat sau devine corupt sau o actualizare întrerupe câteva lucruri, puteți utiliza o copie de rezervă pentru a-l restaura la un moment în care a funcționat normal.

Dacă gazda dvs. nu oferă copii de rezervă și nu obțineți această funcție de la un plugin de securitate, cu siguranță ar trebui să utilizați un plugin de rezervă dedicat.

Vă recomandăm WP STAGING.

Este specializat în punerea în scenă a site-ului, după cum sugerează și numele, dar oferă și funcții de backup, migrare și clonare.

Acest plugin oferă backup automat și vă permite să le stocați în afara site-ului pe Google Drive sau Amazon S3.

Dacă doriți copii de rezervă incrementale și multe dintre aceleași caracteristici oferite de WP STAGING, încercați BlogVault.

Ambele soluții vă permit să vă restaurați site-ul dintr-o copie de rezervă.

Notă: Deși alegerea unei gazde WordPress de calitate înseamnă că este puțin probabil să utilizați copii de rezervă de la terți, totuși vă recomandăm să utilizați una dintre soluțiile de mai sus ca măsură de precauție.

5. Fiți atenți la temele și pluginurile WordPress terțe

Când auziți despre piratarea site-urilor WordPress, de obicei se întâmplă din unul dintre cele două motive: versiuni învechite ale WordPress de bază și teme și pluginuri terțe.

Acesta este motivul pentru care este atât de important să fii la curent cu actualizările WordPress. Chiar și așa, toate actualizările din lume nu vă pot proteja site-ul de o temă sau un plugin rău intenționat sau prost codificat.

Înainte de a vă decide să instalați o temă sau un plugin pe site-ul dvs., faceți-vă cercetări.

Pentru început, când a fost actualizată ultima dată tema sau pluginul? Nu este un semn bun dacă o temă sau un plugin nu a fost actualizat de peste un an.

Asigurați-vă că citiți recenziile unei teme sau pluginuri și firele de asistență. Acestea vă vor oferi indicatori mai buni despre cât de bine suportată este tema sau pluginul.

Asigurați-vă că rulați și numele temei sau al pluginului printr-o căutare în rețelele sociale, în special pe Twitter, Reddit și Facebook.

Aceste site-uri pot avea reclamații care nu sunt abordate pe pagina oficială a temei sau a pluginului de pe WordPress.org.

6. Fiți conștienți de rolurile utilizatorilor WordPress și de permisiunile acestora

În calitate de proprietari de site-uri WordPress, este important să cunoaștem diferențele dintre rolurile de utilizator WordPress și permisiunile pe care le oferă fiecare.

Iată o scurtă descriere a permisiunilor la care are acces fiecare rol:

• Administrator (Administrator) – Poate accesa toate zonele tabloului de bord WordPress și poate face modificări în orice parte a site-ului web, precum și în orice utilizator de pe acel site.
• Editor – Are acces la postări și pagini WordPress și are capacitatea de a adăuga, publica, șterge și edita acest conținut, chiar dacă nu l-au creat ei înșiși.
• Autor – are capacitatea de a adăuga, edita și publica propriile postări.
• Contributor – Are capacitatea de a adăuga și edita propriile postări.
• Abonat – își poate edita profilul de utilizator și poate lăsa comentarii cu sistemul nativ de comentarii WordPress.

Așadar, dacă angajați un editor pentru blogul dvs., ar trebui să îi atribuiți rolul de Editor, spre deosebire de rolul de administrator.

În acest fel, ei pot gestiona conținutul de pe site-ul dvs., dar nu pot aduce modificări temei, pluginurilor și setărilor WordPress.

7. Protejați pagina de conectare WordPress

Pagina de autentificare WordPress este pagina pe care o utilizați pentru a vă conecta la tabloul de bord WordPress.

De obicei, îl puteți accesa accesând yourdomain.com/wp-login.php.

Există o serie de tehnici diferite pe care le putem folosi pentru a securiza pagina de autentificare WordPress.

Vom menționa două în această secțiune, dar există tehnici suplimentare în secțiunea avansată a acestui articol.

Prima tehnică pe care o vom menționa este să adăugați pur și simplu un formular CAPTCHA la pagina de conectare a site-ului dvs.

Dacă decideți să utilizați pluginul de securitate MalCare pe care l-am menționat mai devreme, nu veți avea nevoie de un plugin separat pentru a adăuga această funcționalitate pe site-ul dvs.

Acest plugin vă permite să limitați încercările de conectare prin afișarea automată a unui CAPTCHA pe care vizitatorii să-l rezolve dacă nu se conectează după trei încercări.

Dacă nu utilizați MalCare, utilizați un plugin precum Advanced Google reCAPTCHA.

Este un plugin foarte simplu care vă permite să adăugați un formular CAPTCHA la formularul de conectare, formularul de înregistrare și multe altele.

Când aveți acest plugin activat, dvs. și oricine vă întâlnește pagina de conectare va trebui să completați formularul CAPTCHA pentru a vă conecta.

În afară de asta, o altă modalitate simplă de a proteja pagina de autentificare WordPress este prin activarea autentificării cu doi factori.

Utilizați un plugin precum Two Factor Authentication (de la producătorii UpdraftPlus) pentru a adăuga autentificare cu doi factori la pagina dvs. de conectare. Pluginul se integrează cu Google Authenticator.

8. Utilizați acreditările de conectare securizate

Formularele CAPTCHA și tehnicile de autentificare cu doi factori îngreunează accesul atacatorilor pe site-ul dvs., dar nu imposibil.

Acesta este motivul pentru care este importantă utilizarea acreditărilor de conectare securizate. Acesta adaugă un strat suplimentar de securitate site-ului dvs.

Pentru început, nu trebuie să utilizați niciodată „admin” ca nume de utilizator sau ca nume propriu.

În schimb, combină fragmente din numele tău. De exemplu, dacă numele tău este David Smith și te-ai născut pe 10 octombrie 1980, folosește „dasm1080” ca nume de utilizator sau ceva similar.

În acest fel, dacă un atacator încearcă să intre pe site-ul dvs., mai întâi trebuie să vă afle numele de utilizator.

Acesta este un sfat puțin avansat, dar puteți ascunde numele de utilizator WordPress și le puteți găsi mai greu de către atacatori. Acest lucru este bun pentru că uneori numele de utilizator pot fi găsite în codul sursă al unei pagini.

De asemenea, adresele URL pe care WordPress le generează pentru paginile de arhivă ale autorului conțin de obicei numele de utilizator al fiecărui autor.

Pentru a combate acest lucru, accesați profilul de utilizator al autorului respectiv în WordPress și completați câmpurile First, Last, Nickname și Display Name As cu altceva decât numele de utilizator al utilizatorului.

Pentru a face un pas mai departe, și aici intră în joc sfatul avansat, accesați baza de date a site-ului dvs. prin phpMyAdmin și găsiți tabelul wp_users. Bitul „wp” poate arăta puțin diferit dacă dvs. sau gazda dumneavoastră ați schimbat prefixul bazei de date, dar va avea în continuare atașată partea „_users”.

Ceea ce doriți să faceți este să editați intrarea fiecărei baze de date a utilizatorului și să schimbați valoarea „user_nicename” cu altceva decât ceea ce este setat numele de utilizator al utilizatorului.

Numele utilizatorului se va descurca bine. Doar asigurați-vă că completați spațiile cu liniuțe, cum ar fi „david-smith”.

Pentru parole, utilizați un generator de parole pentru a găsi o parolă sigură și luați în considerare stocarea acesteia într-un manager de parole pentru un acces ușor.

9. Configurați SSL pentru site-ul dvs

SSL, sau Secure Sockets Layer, este un protocol de securitate care criptează datele pe măsură ce sunt transferate între două rețele.

Acesta este de obicei folosit pentru a cripta informațiile de plată și datele sensibile ale clienților.

Există două moduri de a vedea dacă un site este criptat de un certificat SSL: un lacăt prezentat în bara de adrese și utilizarea de către site a „https” în loc de „http”.

Deoarece SSL este un factor ușor de clasare Google, toate site-urile sunt încurajate să configureze SSL, chiar dacă nu intenționează să accepte niciodată plăți.

Din fericire, majoritatea gazdelor oferă certificate SSL gratuit prin Let's Encrypt în zilele noastre, așa că acum este mai ușor și mai ieftin ca niciodată să configurați totul.

Uitați-vă prin baza de cunoștințe a gazdei dvs. pentru a afla cum să faceți acest lucru, deoarece fiecare gazdă o gestionează diferit.

Sfaturi de securitate WordPress pentru utilizatori avansați

10. Dezactivați editarea fișierelor

Tabloul de bord WordPress, sau administratorul WordPress, pentru administratori are doi editori de fișiere care vă permit să editați fișierele de teme și plugin.

Le puteți găsi accesând Aspect → Editor de fișiere de teme și Pluginuri → Editor de fișiere de plugin.

Modificarea acestor fișiere poate distruge site-ul dvs. Și mai rău, dacă un hacker a obținut vreodată acces la unul dintre conturile dvs. de administrator, ar putea folosi acești editori pentru a injecta cod rău intenționat în site-ul dvs.

Acesta este motivul pentru care se recomandă proprietarilor de site-uri WordPress să dezactiveze complet editarea fișierelor.

Tot ce trebuie să faceți este să adăugați următorul cod în fișierul wp-config.php:

 define('DISALLOW_FILE_EDIT', true);

Dacă gazda dvs. nu are un manager de fișiere, va trebui să accesați fișierele site-ului dvs. prin FTP, să descărcați fișierul wp-config.php, să îl editați cu un editor de text simplu, să îl salvați, apoi să îl reîncărcați în același locația în sistemul de fișiere pentru instalarea dvs. WordPress.

Doar asigurați-vă că suprascrieți originalul.

De asemenea, asigurați-vă că faceți o copie de rezervă a site-ului înainte de a face modificări sistemului de fișiere. De asemenea, poate fi o idee bună să descărcați o copie a fișierului wp-config.php înainte de a-i aplica modificări.

11. Dezactivați execuția PHP

Hackerii creează adesea backdoors în sistemul de fișiere al site-ului dvs. executând fișiere PHP în cadrul acestuia.

Puteți bloca aceste tipuri de atacuri prin dezactivarea execuției fișierelor PHP în foldere care nu ar trebui să conțină fișiere PHP, cum ar fi folderul Încărcări în care sunt stocate fișierele media.

Blocarea execuției PHP în folderele care conțin PHP poate distruge site-ul dvs., așa că este adesea recomandat să dezactivați execuția PHP numai pentru folderele în care PHP nu este niciodată găsit doar pentru a fi în siguranță.

Dacă utilizați pluginul de securitate MalCare, puteți dezactiva execuția PHP introducând acreditările FTP ale site-ului dvs.

Dacă nu, va trebui să faceți acest lucru manual, editând sistemul de fișiere al site-ului dvs.

Începeți prin a deschide un editor de text simplu pe computer și adăugați următorul cod la acesta:

 <Fișiere *.php>

nega de la toti

</Fișiere>

Apoi, salvați acest fișier și numiți-l „.htaccess”. Asigurați-vă că includeți punctul „.” înainte de „htaccess”.

Acum, tot ce trebuie să faceți este să accesați sistemul de fișiere al site-ului dvs. și să încărcați noul fișier .htaccess în folderul Încărcări și să salvați modificările.

12. Schimbați prefixul bazei de date WordPress

Am spus-o de mai multe ori, dar site-ul dvs. este format din cod stocat în fișiere.

Ceea ce nu am menționat este modul în care site-ul dvs. este format și din tabele de baze de date. La fel ca codul sau fișierele, ștergerea sau modificarea acestor tabele poate provoca multe daune site-ului dvs.

Din păcate, dacă un hacker vă cunoaște prefixul bazei de date, îl poate folosi pentru a vă ataca site-ul fără a-l accesa manual.

Toate site-urile WordPress sunt proiectate să folosească prefixul „wp” în mod implicit, motiv pentru care este atât de important să îl schimbați, deoarece hackerii sunt deja familiarizați cu acest prefix.

Din fericire, multe gazde deja schimbă automat prefixul implicit al site-ului dvs. de îndată ce creați un site cu ele.

Veți ști dacă au făcut-o dacă tabelele bazei de date au altceva decât „wp” înainte de fiecare valoare de subliniere, cum ar fi „fx87_user” în loc de „wp_user” obișnuit.

De fapt, este destul de simplu de făcut dacă nu, atâta timp cât ești familiarizat cu accesarea sistemului de fișiere al site-ului tău.

Acest sfat necesită din nou fișierul wp-config.php. La fel ca și înainte, este o idee bună să salvați site-ul, precum și o copie a fișierului wp-config.php înainte de a-i face modificări.

Iată pașii pentru schimbarea prefixului bazei de date WordPress:

1. Descărcați fișierul wp-config.php al site-ului dvs.
2. Deschideți fișierul într-un editor de text simplu.
3. Găsiți o linie care spune „$table_prefix”. Dacă întreaga linie spune „$table_prefix = 'wp_'; trebuie sa-l schimbi.
4. Schimbați prefixul „wp” cu două până la cinci litere și numere care ar fi greu de ghicit pentru un atacator.
5. Asigurați-vă că noul prefix are încă ghilimele și punctul și virgulă. Exemplu: $table_prefix = „fx87_';
6. Salvați fișierul wp-config.php și încărcați-l în aceeași locație în sistemul de fișiere al site-ului dvs.
7. Suprascrieți fișierul original wp-config.php când vi se solicită.

13. Asigurați-vă fișierul wp-config.php mutându-l

Unele strategii de atac implică injectarea de cod în fișierul tău wp-config.php, care necesită mai întâi ca atacatorul să îl descarce.

Puteți face mult mai dificil pentru hackeri să vă găsească fișierul wp-config.php mutându-l.

WordPress vă permite să mutați fișierul wp-config.php cu un director în sus, fără a fi nevoie să faceți nimic altceva. Site-ul dvs. va putea în continuare să-l acceseze de acolo.

Cu toate acestea, deoarece un director în sus poate fi încă un folder public, este mai bine să-l mutați puțin mai departe decât atât.

Acest sfat nu este greu de urmat, dar modificările pe care le aduce site-ului dvs. sunt destul de avansate, mai ales dacă ceva nu merge bine, deci continuați doar dacă știți ce faceți.

Iată pașii pentru mutarea fișierului wp-config.php:

1. Faceți o copie a fișierului dvs. wp-config.php și stocați-l pe computer.
2. Accesați sistemul de fișiere al site-ului dvs. și găsiți folderul care conține folderul public_html.
3. Creați un folder nou în acest director și numiți-l ceva care nu îl identifică ca folder care ar conține fișierul dvs. wp-config.php. Ceva de genul „bw-assets” ar funcționa. Notă: nu utilizați bw-assets pe propriul dvs. site. Folosește ceva original cu care ai venit, astfel încât să fie mai sigur.
4. Setați nivelul de permisiune al noului folder la 700.
5. Copiați și inserați fișierul dvs. wp-config.php în folderul dvs. nou creat și redenumiți-l cu ceva care nu îl identifică drept fișierul dvs. wp-config.php. Din nou, ceva de genul „bw-asset.php” ar funcționa bine.
6. Schimbați nivelul de permisiune al acestui nou fișier la 600.

Editați fișierul original wp-config.php, ștergeți codul din el și înlocuiți-l cu acesta:

 <?php

include('/home/usr/bw-assets/bw-asset.php');

?>

Calea fișierului dintre ghilimele ar trebui să se potrivească cu calea absolută a fișierului propriului site, inclusiv cu modul în care ați denumit folderul și fișierul nou creat.

Salvați fișierul după aceea.

14. Redenumiți pagina de conectare WordPress

Pagina de autentificare WordPress există la /wp-login.php și căi URL similare în mod implicit. Deci, dacă doriți să vă conectați la site-ul dvs. WordPress, mergeți pur și simplu la yourdomain.com/wp-login.php sau yourdomain.com/wp-admin.

Hackerii sunt bine familiarizați cu acest lucru. Odată ce accesează formularul de conectare al site-ului dvs., ei pot iniția atacuri de forță brută pentru a încerca să vă încalce apărarea.

Sperăm că aceste apărări includ limitarea încercărilor de conectare cu un plugin de securitate sau un formular CAPTCHA, dar puteți, de asemenea, să ascundeți pagina de conectare cu totul.

Utilizați un plugin precum WPS Hide Login pentru a implementa această caracteristică.

Pluginul adaugă o setare simplă la pagina de setări generale WordPress, o setare care vă permite să vă schimbați adresa URL de conectare introducând adresa URL dorită într-un câmp de text.

Folosiți ceva sigur care este neobișnuit, astfel încât hackerii să nu poată ghici cu ușurință. Poate încercați să utilizați o combinație de cuvinte, astfel încât să pară fără sens, cum ar fi „einsteinbananafrisbee”.

Odată ce faceți această modificare, nu veți mai putea accesa pagina dvs. de conectare de la wp-login.php sau URL-uri similare. Veți putea folosi doar domeniul dvs..com/einsteinbananafrisbee, așa că asigurați-vă că este ceva ce vă puteți aminti.

15. Dezactivați navigarea în directoare

Navigarea în director este o caracteristică de design web care permite unui utilizator să introducă un director ca URL în bara de adrese și să vadă conținutul acelui director.

Hackerii folosesc acest lucru ca o modalitate de a vizualiza un director fără a fi necesar să acceseze un site într-un mod rău intenționat. Când fac acest lucru, pot identifica fișierele și vulnerabilitățile pe care le pot exploata.

Cel mai bun mod de a combate această problemă este dezactivarea completă a navigării în directoare.

Începeți prin a vedea dacă navigarea în directoare este activată pentru site-ul dvs. Îți poți da seama accesând domeniul tău.com/wp-includes. Dacă sunteți lovit de o eroare 403 Forbidden, navigarea în directoare este deja dezactivată și nu trebuie să vă faceți griji.

Cu toate acestea, dacă vedeți o listă de fișiere, va trebui să dezactivați singur navigarea în director.

Începeți prin a accesa sistemul de fișiere al site-ului dvs. și găsiți fișierul .htaccess.

La fel cum ați făcut cu fișierul wp-config.php, ar trebui să faceți o copie de rezervă a site-ului și să creați o copie a .htaccess înainte de a-i face modificări.

Apoi, descărcați-l, deschideți-l într-un editor de text simplu și adăugați acest fragment de cod la sfârșitul acestuia:

 Opțiuni Toate -Indici 

Salvați fișierul și reîncărcați-l pe site-ul dvs. WordPress, asigurându-vă că îl suprascrieți pe original.

16. Deconectați-vă utilizatorii inactivi

Colegii administratori, editorii și autorii pot crede că spațiile lor de lucru sunt sigure, dar nu puteți fi niciodată prea atent.

Dacă un administrator sau un editor se îndepărtează de computerul său în timp ce este conectat la site-ul dvs., poate să vă deschidă site-ul către vulnerabilități fără să-și dea seama, mai ales dacă sunt în public și computerul lor este furat.

Pentru a combate acest lucru, este o idee bună să deconectați utilizatorii inactivi. Plugin-ul Inactive Logout oferă una dintre cele mai simple moduri de a face treaba.

Plugin-ul vă permite să configurați deconectarea automată pe baza inactivității pentru o anumită perioadă de timp.

Puteți chiar să configurați mesaje de avertizare în cazul în care utilizatorii sunt de fapt la computerele lor, pur și simplu nu interacționează cu site-ul web.

Este un plugin destul de simplu și simplu care vă permite să implementați un nivel suplimentar de securitate a site-ului WordPress.

Gânduri finale și ce să faci dacă site-ul tău este spart

Dacă site-ul dvs. este spart, este posibil să vedeți câteva dintre următoarele semne de avertizare în timp ce încercați să interacționați cu el:

• Nu se poate autentifica.
• Modificări la frontend pe care nu le-ați făcut.
• Toate paginile de pe site-ul dvs. redirecționând către un site complet diferit.

Acest lucru exclude avertismentele pe care este posibil să le fi primit de la gazda sau pluginul de securitate.

Indiferent de ce se întâmplă cu site-ul dvs., acum știți că este în dificultate. Iată ce să faci când se întâmplă acest lucru.

Primul lucru pe care ar trebui să-l faceți este să vă puneți site-ul în modul de întreținere cu un plugin pentru modul de întreținere.

Pluginul Coming Soon și Maintenance Mode este un plugin binecunoscut care este fantastic în acest scop.

Un site piratat îi lasă pe utilizatori vulnerabili și la atacuri, așa că cu cât blocați mai repede accesul din exterior la site-ul dvs. cât timp acesta rămâne compromis, cu atât mai bine.

După ce site-ul dvs. este offline, urmați acești pași pentru a-l securiza:

• Schimbați parolele pentru toți utilizatorii de pe site-ul dvs., dar mai ales pentru conturile de administrator.
• Vizualizați toți utilizatorii de pe site-ul dvs. și eliminați conturile administrative pe care nu le recunoașteți.
• Instalați actualizări WordPress în cazul în care ați ratat o actualizare de securitate crucială pentru o temă sau un plugin terță parte.
• Utilizați pluginul dvs. de securitate pentru a căuta și elimina programele malware. Dacă utilizați o gazdă precum WPX Hosting, acestea vor elimina programele malware pentru dvs. Dacă aveți instalat MalCare, pluginul ar trebui să îl poată elimina pentru dvs. În caz contrar, poate fi necesar să utilizați un serviciu extern, cum ar fi Sucuri, care îl va elimina manual.
• Regenerați harta site-ului și trimiteți din nou site-ul la Google prin Google Search Console. Acest lucru se întâmplă în cazul în care fișierul sitemap a fost corupt.
• Reinstalați versiunile curate ale nucleului WordPress, precum și temele și pluginurile pe care le aveați pe site-ul dvs.
• Curățați-vă baza de date cu un plugin WordPress precum WP-Optimize.
• Dezactivați modul de întreținere odată ce site-ul dvs. este stabil.
• Finalizați un audit de securitate pentru a identifica vulnerabilitățile de securitate care ar fi putut duce la hack.

Deși poate fi tentant să vă restaurați site-ul dintr-o copie de rezervă, nu știți cât timp a fost ascuns codul rău intenționat în interiorul site-ului dvs.

Din acest motiv, este mai bine să nu recurgeți la copii de rezervă atunci când curățați un site infectat.

Dezvăluire: conținutul nostru este susținut de cititori. Dacă faceți clic pe anumite link-uri, este posibil să facem un comision. Acest lucru contribuie la costurile de operare ale Blogging Wizard. Sprijinul dumneavoastră este foarte apreciat.