Cum să vă securizați site-ul WordPress în 2023 (tutorial detaliat)

WordPress a devenit unul dintre cele mai populare sisteme de management al conținutului (CMS) din lume, cu peste 44% din site-uri web construite pe acesta. Ca și în cazul oricărei platforme online, securitatea ar trebui să fie în fruntea listei dvs. de preocupări. În această postare, vom examina problemele legate de securitatea WordPress și vom oferi sfaturi despre cum să vă păstrați site-ul WordPress în siguranță și securizat.

Să ne scufundăm.

Este WordPress Securizat?

În cea mai mare parte, da. Dezvoltatorii WordPress lucrează din greu pentru a menține securitatea platformei lor prin corecții și actualizări care apar în mod regulat. Cu toate acestea, deoarece WordPress este construit pe un cadru open-source, hackerii pot analiza modul în care este construit și pot dezvolta frecvent noi modalități de a obține controlul asupra site-urilor WordPress. Din acest motiv, securitatea WordPress este crucială. Cunoașterea riscurilor asociate cu utilizarea WordPress este importantă pentru a înțelege mai bine cum să vă securizați site-ul.

Probleme de securitate WordPress

Când operați un site web WordPress, există mai multe riscuri potențiale de care trebuie să fiți conștienți. Una dintre cele mai mari preocupări sunt hackerii. Deoarece WordPress este atât de popular, atrage atenția actorilor nefericiți care încearcă să exploateze vulnerabilități precum pluginuri învechite sau fișiere de bază pentru a obține acces neautorizat la site-ul tău. Ei pot folosi metode precum ușile din spate, lansarea de atacuri de forță brută, atacuri farmaceutice, atacuri de denial of service (DoS) sau cross-site scripting (XSS).

Dacă este lăsat nerezolvat, pot exista consecințe grave, cum ar fi malware (cod rău intenționat conceput pentru a fura informațiile vizitatorilor site-ului dvs.), redirecționarea site-ului dvs. către unul complet diferit, adăugarea de conținut de care nu cunoașteți, avertismente Google care vă pot afecta poziția în SERP-urile sau, mai rău, neputând să vă conectați la site-ul dvs.

Cum să vă securizați site-ul dvs. WordPress

Următoarea secțiune va explora cele mai bune practici pentru a îmbunătăți securitatea WordPress pentru a vă proteja site-ul împotriva potențialelor amenințări.

Abonați-vă la canalul nostru de Youtube

Securitate WordPress: Alegeți o găzduire WordPress bună

Primul pas de făcut este parteneriatul cu o companie bună de găzduire WordPress. Având atâtea opțiuni disponibile, poate fi dificil să determinați cum să alegeți gazda potrivită. Dacă sunteți începător, probabil că cel mai bine este să optați pentru un furnizor de găzduire gestionat bun, cum ar fi SiteGround, care va oferi toate actualizările de securitate pentru WordPress, menținând în același timp serverul pe care este instalat. Pentru cei care sunt mai pricepuți la tehnologie, un furnizor de găzduire în cloud, cum ar fi Cloudways, este o alegere excelentă.

Oricare dintre opțiuni vă va oferi toate instrumentele de care aveți nevoie pentru a vă asigura că site-ul dvs. este sigur și securizat, inclusiv:

• Certificat SSL gratuit
• Firewall pentru aplicații web (WAF)
• Acces SFTP
• Protecție împotriva refuzului de serviciu distribuit (DDoS).
• Protecție împotriva programelor malware

Păstrați-vă autentificarea WordPress în siguranță

Un alt lucru ușor pe care îl puteți face pentru a vă spori securitatea WordPress este să vă blocați acreditările de conectare. Acest lucru se poate face în mai multe moduri, inclusiv folosind un plugin pentru a schimba adresa URL de conectare de la /wp-admin la ceva la alegerea dvs. De asemenea, puteți adăuga autentificare cu doi factori (2FA) la autentificare și să limitați încercările de conectare, ceea ce va ajuta la respingerea roboților.

O altă modalitate de a vă proteja datele de conectare este conectarea acesteia la contul dvs. Google folosind Google Apps Login pentru WordPress. Odată ce autentificarea dvs. este blocată, ar trebui să puneți pe lista albă adresele IP ale utilizatorilor dvs. Acest lucru asigură că numai utilizatorii înregistrați pot intra, chiar dacă au reușit să-ți descopere parola.

Utilizați o suită de pluginuri de securitate WordPress

Un alt lucru foarte util pe care îl puteți face este să instalați un plugin de securitate bun, cum ar fi iThemes Security. Vă va permite să adăugați 2FA, să limitați încercările de conectare, să programați copii de rezervă și să vă ascundeți datele de conectare WordPress.

Pe lângă un plugin de securitate WordPress, luați în considerare instalarea unui plugin de rezervă bun, cum ar fi UpdraftPlus, dacă gazda dvs. nu oferă copii de rezervă. Un plugin de rezervă vă protejează de pierderea fișierelor site-ului dvs., ajutându-vă să evitați reconstruirea WordPress de la zero. Vă puteți restabili cu ușurință site-ul cu puțin efort dacă ceva nu merge bine. În cele din urmă, încorporarea unui plugin de jurnal de activitate precum WP Activity Log vă va permite să identificați ce a mers prost și când.

Păstrați PHP actualizat

WordPress necesită trei lucruri pentru a funcționa corect: suport PHP, MySQL și HTTPS. PHP, sau preprocesorul hipertextului, este un limbaj de scripting open-source popular folosit în dezvoltarea web și este coloana vertebrală a WP. La fel ca WordPress, fiind open source îl lasă deschis pentru actorii rău intenționați care doresc să profite. Pentru a evita aceste probleme potențiale, cel mai bine este să mențineți PHP actualizat. Nu numai că ajută la securitatea WordPress, dar vă menține și site-ul să funcționeze optim.

Alegeți Parole puternice

Unul dintre cele mai importante aspecte ale securității WordPress este alegerea parolelor puternice pentru autentificare. Parolele slabe sau ușor de ghicit vă lasă site-ul vulnerabil la accesul neautorizat și vă expun site-ul la rețele botnet. Rețelele bot sunt o colecție de computere care au fost infectate cu programe malware și intră sub controlul unui hacker. Ele sunt cauza principală a atacurilor DDoS pe internet, dar puteți preveni ca site-ul dvs. să devină victimă, luând măsurile de precauție corecte.

De exemplu, vă puteți proteja site-ul asigurându-vă că toți utilizatorii respectă o politică de parole. O modalitate excelentă de a face acest lucru este prin instalarea unui plugin precum Password Policy Maker.

Securitate WordPress: păstrați software-ul actualizat

Un alt pas simplu în securitatea WordPress este păstrarea nucleului, pluginurilor și temelor WordPress actualizate. Lăsarea software-ului învechit poate avea consecințe negative asupra site-ului dvs., inclusiv breșe de securitate, ecranul alb al morții WordPress sau orice număr de erori comune.

Puteți fie să țineți pasul cu actualizările pe cont propriu, fie să activați actualizările automate. Ceea ce este potrivit pentru tine depinde de mai mulți factori, inclusiv timpul, expertiza și tipul de software pe care îl instalează WordPress. Indiferent dacă gestionați actualizările sau alegeți să actualizați automat, ar trebui să faceți întotdeauna o copie de rezervă înainte de a efectua orice actualizări.

Instalați certificatul SSL

Dacă sunteți partener cu un furnizor de găzduire bun, unul dintre beneficiile care vin cu acesta este un certificat SSL gratuit. Cu toate acestea, pot exista situații în care va trebui să instalați unul singur. Majoritatea furnizorilor, cum ar fi SiteGround, oferă un SSL gratuit care se instalează în câteva minute. Pe măsură ce citiți acest lucru, s-ar putea să vă întrebați „De ce am nevoie de un certificat SSL?”. Să explicăm.

imagine prin amabilitatea lui Valery Brozhinsky | Shutterstock.com

SSL, sau secure socket layer, extinde protocolul de transfer hipertext (HTTP) la protocolul de transfer hipertext securizat (HTTPS), adăugând criptare și un nivel suplimentar de securitate. De exemplu, un consumator care face o achiziție prin HTTP riscă ca informațiile cardului de credit să fie exploatate. Pe de altă parte, informațiile lor ar fi protejate dacă ar fi făcut aceeași achiziție prin HTTPS. Site-ul dvs. și vizitatorii săi sunt expuși și vulnerabili fără acea conexiune sigură. De aceea, instalarea unui certificat SSL pe orice site web nou este crucială.

Efectuați un audit de securitate

Odată ce ați luat măsuri pentru a vă securiza site-ul, este important să efectuați ocazional un audit de securitate WordPress. Așa cum tehnologia se schimbă zilnic, la fel se schimbă și arsenalul de instrumente al hackerilor. Malware și alte tactici sunt dezvoltate în mod regulat, așa că securizarea site-ului dvs. WordPress nu este o afacere una și gata. Programați controale regulate de securitate și căutați semne că site-ul dvs. ar putea avea probleme. Dacă observați că site-ul dvs. se încarcă lent, traficul scade, descoperiți link-uri noi pe care nu le-ați adăugat sau întâmpinați încercări excesive de autentificare, poate fi timpul să efectuați o scanare de securitate pentru a vă asigura că site-ul rămâne sigur și securizat.

Tehnici avansate de securitate WordPress

În plus față de pașii enumerați mai sus, există câteva tehnici mai avansate de incorporat în site-ul dvs. pentru a îmbunătăți securitatea WordPress.

Întăriți fișierul wp-config.php

Un punct comun de intrare pentru hackeri este fișierul wp-config.php al site-ului dvs. WordPress. Acesta găzduiește informații despre baza de date, inclusiv numele, gazda, numele de utilizator și parola. Lăsarea deschisă a acestui fișier important se poate dovedi dăunătoare, așa că ascunderea acestuia este întotdeauna o idee bună.

Mutați fișierul wp-config.php

Pentru a muta wp-config, îl puteți trage în folderul rădăcină al site-ului dvs. (HTML public), iar WordPress îl va căuta ori de câte ori site-ul este ping. Cu toate acestea, dacă structura de fișiere a site-ului dvs. include un fișier htaccess, îl puteți proteja în continuare adăugând o directivă pentru a interzice accesul la acesta utilizând următorul cod:

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

Notă: Înainte de a face acest lucru, asigurați-vă că furnizorul dvs. de găzduire nu a făcut deja pași pentru a vă muta fișierul wp-config. Unele gazde, cum ar fi Kinsta, fac acest lucru automat pentru a vă păstra site-ul în siguranță.

Schimbați tastele de sare WordPress

O altă modalitate de a vă proteja fișierul wp-config este modificarea tastelor de sare ale site-ului dvs. Aceste chei adaugă un strat suplimentar de protecție în timp ce salvează parolele în baza ta de date, te conectezi la cookie-uri și alte aspecte importante de securitate WordPress. Dacă hackerii vă pot obține cheile de sare, aceștia pot accesa baza de date și fișierele site-ului dvs., inclusiv informațiile stocate ale cardului de credit, parolele și alte informații importante. Prin urmare, este recomandat să le schimbați periodic.

Schimbați permisiunile fișierelor

În mod implicit, fișierele din directorul rădăcină sunt setate la 644, ceea ce înseamnă că sunt atât citibile, cât și inscriptibile, lăsându-le vulnerabile în fața actorilor răi. Potrivit WordPress, acestea nu ar trebui lăsate la permisiunile implicite. Mai degrabă, ar trebui modificate la 440 sau 400 pentru a împiedica alte persoane de pe același server să le citească. Cu toate acestea, este important să verificați cu furnizorul dvs. de găzduire înainte de a modifica permisiunile pentru fișiere. Este posibil ca aceștia să aibă un sistem unic, așa că modificarea permisiunilor ar putea cauza perturbări site-ului dvs.

Dezactivați XML-RPC

XML-RPC este un API WordPress care vă permite să vă conectați site-ul web la aplicații și instrumente terțe. În ultimii ani, acesta a fost exploatat de atacuri de forță brută, permițând accesul la site-urile WordPress. Este folosit în principal pentru a realiza conexiuni Zapier sau pentru a accesa site-ul de la distanță printr-o aplicație. Ar trebui să dezactivați XML-RPC pe serverul dvs. dacă nu utilizați niciuna dintre aceste conexiuni.

Există mai multe modalități de a face acest lucru, inclusiv dezactivarea prin htaccess, folosind un fragment de cod sau cu un plugin. Cea mai avansată metodă, htaccess, poate fi dificilă pentru începători, așa că cea mai recomandată abordare este utilizarea unui fragment de cod.

Pentru metoda htaccess, utilizați un client FTP pentru a accesa fișierele site-ului dvs., apoi adăugați următorul cod în fișierul dvs. htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

Notă: Asigurați-vă că schimbați IP-ul 123.123.123.123 cu al dvs.

Alternativ, puteți utiliza fila htaccess instrumente a pluginului AIOSEO pentru a insera codul:

Dacă preferați să dezactivați XML-PRC folosind un fragment de cod, îl puteți realiza cu ușurință folosind pluginul WPCode. Are un fragment încorporat pe care îl puteți folosi pentru a dezactiva API-ul.

Ascunde versiunea WordPress

Acesta este un pas adesea trecut cu vederea atunci când vine vorba de securitatea WordPress, dar unul important. În mod implicit, WordPress lasă o amprentă în codul site-ului dvs. care arată ce versiune este instalată. Acest lucru poate părea inofensiv, dar accesând codul sursă al site-ului web, hackerii pot determina ce versiune de WordPress rulați. Dacă este învechit, ei pot folosi acele informații pentru a pirata site-ul dvs. prin injectarea de programe malware sau scripturi rău intenționate.

Așadar, ca măsură suplimentară de securitate WordPress, ascunde versiunea WordPress a site-ului tău pentru a îngreuna hackerii să preia controlul asupra site-ului tău. Există modalități bune de a face acest lucru. Puteți fie să implementați un plugin de fragment de cod care va elimina linia din codul sursă, fie să creați o temă copil și să o plasați în fișierul functions.php.

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Ca alternativă, dacă doriți să eliminați versiunea WP din metaeticheta, din șirurile de interogare a bazei de date și din fluxurile RSS, utilizați acest cod:

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Ce trebuie să faceți dacă site-ul dvs. WordPress este piratat

Chiar dacă faci totul corect, s-ar putea să te trezești într-o situație în care site-ul tău a fost spart. Din fericire, există pași pe care îi puteți face, inclusiv punerea site-ului în modul de recuperare, restaurarea din cea mai recentă copie de rezervă sau resetarea parolelor. Dacă toate celelalte nu reușesc, furnizorul dvs. de găzduire vă poate ajuta.

Gânduri finale despre securitatea WordPress

Făcând pașii necesari pentru a vă spori securitatea WordPress, vă puteți asigura că site-ul dvs. continuă să funcționeze normal, fiind în siguranță pentru vizitatorii dvs. În timp ce WordPress oferă beneficii extraordinare și ușurință în utilizare, este important să înțelegem deficiențele sale. Din fericire, există o serie de pluginuri de securitate WordPress, cum ar fi iThemes, care pot ajuta la menținerea lucrurilor pe drumul cel bun.

Căutați mai multe informații despre WordPress? Consultați câteva dintre articolele noastre aprofundate care vă vor transforma într-un expert WordPress în cel mai scurt timp:

• Cum se instalează WordPress: Ghidul definitiv
• Cele mai bune 10 opțiuni de găzduire WordPress în 2023 (alese manual)
• 31 de cele mai bune pluginuri WordPress din 2023 (tot ce ai nevoie)
• Cele mai bune 10 teme WordPress din 2023 (comparate și clasate)

Imagine prezentată prin Pikovit / shutterstock.com