Un studiu indepentent desfășurat în 2017 a arătat că mai mult de 73% din site-urile WordPress conțineau vulnerabilități critice exploatabile, cum ar fi executarea codului de la distanță.
Desigur, echipa de la WordPress face tot ce poate pentru a crea actualizări care întăresc securitatea și fortifică site-ul dvs WordPress, dar există multe lucruri pe care le puteți face pentru siguranța site-ului dvs.
Iată câteva sfaturi utile pentru securizarea site-ului dvs. WordPress.
10. Efectuați actualizările WordPress
Trebuie să instalați toate actualizările în momentul în care acestea devin disponibile. În momentul conectării la contul dvs. WordPress, acesta vă va avertiza asupra oricăror actualizări disponibile. Faceți o copie de siguranță a bazei de date și a fișierelor, apoi instalați noile actualizări.
9. Schimbați permisiunile fișierelor
WordPress recomandă utilizarea permisiunilor 750, în loc de 755. Setați fișierul de configurare (wp-config.php) la 600.
8. Schimbați-va parola
În mod ideal, ar trebui să va schimbati parola cel puțin o dată pe lună. Utilizați o parolă puternică de fiecare dată. O parolă puternică conține majuscule, litere mici, numere și simboluri. Puteți utiliza generatorul de parole WordPress pentru a vă ajuta să creați parole aleatorii și puternice.
7. Ștergeți pluginurile pe care nu le utilizați
Poate că ați dezactivat pluginurile pe care nu le folosiți dar acestea pot fi o poartă deschisă către contul dvs. WordPress. Aceste pluginuri dezactivate supun contul dvs. la riscul de a fi compromis. Dacă le mai țineți acolo doar pentru că este posibil să mai aveți nevoie de ele, mai bine le ștergeți. Dacă sunteți sigur că le veți mai folosi la un momentdat, mai bine le descărcați în calculator și le ștergeți de pe site.
6. Nu folosiți „admin” ca nume de utilizator
La fel că o parolă bună, aveți nevoie și de un nume de utilizator bun. Numele de utilizator „admin” este setat ca implicit și de multe ori este lăsat așa. Schimbați-l întotdeauna, nu le faceți viața mai ușoară hackerilor prin utilizarea unui username „admin”.
Puteți schimba numele de utilizator executând următoarea comandă în SQL:
UPDATE wp-users SET user_login-„Noul nume de utilizator” WHERE user_login=’Admin’;
5. Mențineți tema actualizată
Tema dvs. WordPress poate avea breșe de securitate ce pot fi folosite de atacatori pentru a-și atinge scopul. Dezvoltatorii încearcă să țină pasul cu aceste probleme prin lansarea de actualizări pentru remedierea acestor breșe. Verificați actualizările și instalați-le atunci când acestea devin disponibile.
4. Configurați autentificarea în doi factori
Autentificarea în doi pași înseamnă pur și simplu că vă logați de două ori cu criterii speciale diferite. Ideal ar fi să folosiți aplicații care au un cod temporal, care se schimbă, cum ar fi Google Authenticator sau RSA. Există multe pluginuri de bună calitate care vor permite autenftificarea în doi factori. Cele mai multe dintre ele vă vor cere doar să răspundeți la câteva întrebări.
3. Utilizați scanere pentru a testa site-ul WordPress pentru vulnerabilități
Nu puteți cunoaște cu adevărat la ce riscuri este expus site-ul dvs fără a avea o modalitate de analiză. Un scaner de securitate va verifica fișierele de bază, pluginurile și tema pentru coduri malițioase și pentru a vă asigura că nimic nu a fost modificat. Puteți imclusiv să luați în considerare instalarea de scanere permanente pe site-ul dvs.
2. Utilizați o aplicație Firewall / Antivirus, cum ar fi Word Fence
Este foarte util să vedeți traficul pe site-ul dumneavoastră prin instrumente cum ar fi JetPack, dar acestea nu vă dau imaginea în ansamblu asupra a cine și ce accesează pe site-ul dumneavoastră. Codul Javascript este cunoscut pentru găurile lăsate în securitatea WordPress, iar unelte precum WordFence (chiar și versiunea gratuită) pot ajuta la prevenirea exploatărilor siteului.
1. Permiteți doar adresei dvs. IP să se conecteze în zona de administrare
Blocarea tuturor adreselor IP, în afară de a dumneavoastră să acceseze panoul de administrare WordPres este probabil una dintre cele mai bune modalități de a vă proteja website-ul. Cu toate acestea, dacă vă aflați într-o rețea care folosește DHCP și adresa dvs se modifică în mod regulat, este posibil să nu vă puteți folosi de această opțiune. În cazul în care se poate, puteți modifica pur și simplu fișierul .htaccess, schimbând <
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^<
RewriteRule ^(.*)$ – [R=403,L]
Asta este tot, sperăm că acest articol v-a ajutat să învățați cele mai bune practici de securitate WordPress pentru site-ul dumneavoastră.
Comentarii