Securitate WordPress: 16 pași pentru a vă asigura și proteja site-ul

Când vine vorba de securitate, nu există un tip de securitate specific WordPress. Toate problemele de securitate sunt comune pentru toate site-urile web sau aplicațiile.

Problemele de securitate WordPress sunt totuși de mare interes, deoarece alimentează aproximativ 40% din web și este open source. Când cineva găsește o vulnerabilitate fie în nucleul WordPress, fie în pluginuri, alte site-uri web care o folosesc devin vulnerabile, deoarece toate folosesc același cod.

Pe de altă parte, există un număr decent de plugin-uri pe care le puteți folosi pentru a vă consolida securitatea site-ului.

În această coloană, veți învăța cum să vă consolidați site-ul WordPress împotriva diferitelor tipuri de vulnerabilități, deși domeniul de aplicare al acestui articol este mai larg și se aplică tuturor tipurilor de aplicații web.

Protecția împotriva vulnerabilităților WordPress

Cele mai comune tipuri de vulnerabilități sunt:

1. Ușile din spate.
2. Hack-uri farmaceutice.
3. Încercări de conectare în forță brută.
4. Redirecționări rău intenționate.
5. Cross-site Scripting (XSS).
6. Refuzarea serviciului (DDoS).

Acestea sunt tipurile comune de vulnerabilități, dar asta nu înseamnă că sunt limitate doar la acestea. Când te gândești la securitate, în general, ar trebui să te gândești la 360°.

Nu există un set limitat de moduri de a pirata un site web. Atacatorii pot folosi multe tehnici pentru a vă accesa site-ul.

De exemplu, vă pot fura computerul și pot avea acces fizic la computer. De asemenea, pot folosi tehnici de supraveghere pentru a vă vedea parolele atunci când se conectează dintr-o rețea publică la site-ul dvs. web.

Să vedem cum să ne întărim instalările WordPress pentru a face viața un pic mai dificilă atacatorilor.

Continuați să citiți pentru a afla mai multe despre fiecare dintre aceste 16 moduri de a întări securitatea site-ului dvs. WordPress:

1. Utilizați HTTPS.
2. Folosiți întotdeauna parole puternice.
3. Utilizați managerii de parole pentru a vă stoca parolele.
4. Activați Captcha în formularele de autentificare.
5. Preveniți încercările de conectare prin forță brută.
6. Utilizați autentificarea cu doi factori.
7. Păstrați pluginurile la zi.
8. Setați anteturile HTTP de securitate.
9. Setați permisiunile corecte pentru fișierele WordPress.
10. Dezactivați editarea fișierelor din WordPress.
11. Dezactivați toate funcțiile inutile.
12. Ascunde versiunea WordPress.
13. Instalați un firewall WordPress.
14. Păstrați copii de rezervă.
15. Utilizați SFTP.
16. Monitorizați activitățile utilizatorilor.

1. Asigurați-vă site-ul cu HTTPS

Nu întâmplător vom începe prin a securiza site-ul web cu HTTPS.

Tot ceea ce faci trece prin rețea și prin cabluri. HTTP schimbă date ca text simplu între browser și server. Prin urmare, oricine are acces la rețeaua dintre server și browser poate vedea datele dvs. necriptate.

Dacă nu vă protejați conexiunea, riscați să expuneți atacatorilor date sensibile. Cu HTTPS, datele tale vor fi criptate, iar atacatorii nu vor putea citi datele transmise chiar dacă au acces la rețeaua ta.

Deci, pasul numărul unu pentru securizarea site-ului dvs. este activarea HTTPS. Dacă nu v-ați mutat încă la HTTPS, puteți utiliza acest ghid pentru a vă muta WordPress la HTTPS.

Instrumente și pluginuri WordPress pe care le puteți folosi pentru a migra HTTP la HTTPS

1. Căutare mai bună Înlocuiește.
2. Căutare în baza de date și înlocuire script.

2. Folosiți întotdeauna parole puternice

Cel mai obișnuit mod în care hackerii accesează site-urile web este prin parole slabe sau pwned. Acestea te fac vulnerabil la atacuri cu forță brută.

Îmbunătățiți-vă securitatea utilizând parole puternice mai mult decât orice alt mod enumerat mai jos.

Utilizați întotdeauna parole puternice și verificați în mod regulat dacă acestea au fost trimise.

Pluginuri WordPress pentru a îmbunătăți securitatea parolelor:

1. Nu permiteți parola Pwned.
2. Descărcați Password Policy Manager.
3. Parola bcrypt.

3. Utilizați managerii de parole pentru a vă stoca parolele

Când vă conectați în timp ce lucrați dintr-o rețea publică, nu puteți fi sigur despre cine urmărește ceea ce scrieți pe laptop sau care vă înregistrează parolele.

Pentru a rezolva această problemă, utilizați manageri de parole pentru a vă accesa cu ușurință parolele și pentru a le stoca într-un loc sigur.

Chiar dacă computerul dvs. este accesat, nu vă vor putea obține parolele. Managerii de parole sunt bazate pe browser și nu pluginuri WordPress.

Add-Ons pentru browserul Managerului de parole:

1. LastPass.
2. 1 Parolă.
3. NordPass.

4. Adăugați CAPTCHA în formularul de autentificare și înregistrare

Când v-ați securizat site-ul web cu HTTPS și ați folosit parole puternice, deja le-ați îngreunat viața hackerilor.

Dar puteți face și mai dificilă adăugând CAPTCHA la formularele de conectare.

Captchas-urile sunt o modalitate excelentă de a vă proteja formularele de conectare împotriva atacurilor de forță brută.

Pluginuri pentru a adăuga Captcha la autentificarea WordPress:

1. Conectare Nu Captcha reCAPTCHA.
2. Logare Securitate reCAPTCHA.

5. Protejați-vă de încercările de conectare cu forță brută

Conectarea CAPTCHA vă va oferi protecție împotriva încercărilor de forță brută până la un anumit punct, dar nu complet. Adesea, odată ce jetoanele captcha sunt rezolvate, acestea sunt valabile pentru câteva minute.

Google reCaptcha, de exemplu, este valabil timp de 2 minute. Atacatorii pot folosi acele două minute pentru a încerca încercări de conectare prin forță brută la formularul de conectare în acest timp.

Pentru a rezolva această problemă, ar trebui să blocați încercările eșuate de conectare prin adresa IP.

Pluginuri WordPress pentru a preveni atacurile cu forță brută:

1. WP Limitează încercările de conectare.
2. Limitați încercările de conectare reîncărcate.

6. Configurați autentificarea cu doi factori (2FA).

Cu parolele securizate și captcha pe formularele de conectare, ești mai protejat, da.

Dar ce se întâmplă dacă hackerii ar folosi metode de supraveghere și ar înregistra parola pe care ați introdus-o pe video pentru a vă accesa site-ul?

Dacă au parola dvs., numai autentificarea cu doi factori vă poate proteja site-ul de atacatori.

Pluginuri WordPress pentru a configura autentificarea 2FA:

1. Doi factori.
2. Google Authenticator.
3. Autentificare în doi factori WordPress (2FA, MFA).

7. Țineți la zi WordPress Core și pluginurile

Vulnerabilitățile apar adesea pentru nucleul și pluginurile WordPress, iar atunci când apar, sunt găsite și raportate. Asigurați-vă că actualizați pluginurile cu cea mai recentă versiune pentru a preveni piratarea site-urilor web din găuri cunoscute și raportate în fișiere.

Nu aș recomanda trecerea la actualizarea automată, deoarece ar putea duce la distrugerea site-urilor web fără știrea dvs.

Dar vă recomand cu tărie să activați actualizările minore ale nucleului WordPress adăugând această linie de cod în wp-config.php, deoarece aceste actualizări includ corecții de securitate pentru nucleu.

 define('WP_AUTO_UPDATE_CORE', 'minor');

8. Setați anteturile HTTP de securitate

Anteturile de securitate aduc un strat suplimentar de protecție prin restricționarea acțiunilor care pot fi efectuate între browser și server atunci când se navighează pe site.

Anteturile de securitate au scopul de a proteja împotriva atacurilor Clickjacking și Cross-site Scripting (XSS).

Anteturile de securitate sunt:

• Strict-Transport-Security (HSTS).
• Conținut-Securitate-Politică.
• X-Frame-Opțiuni.
• X-Conținut-Tip-Opțiuni.
• Preluați anteturile metadatelor.
• Referitor-Politica.
• Cache-Control.
• Șterge-date-site.
• Caracteristică-Politică.

Nu vom aprofunda fiecare explicație a antetului de securitate, dar iată câteva pluginuri pentru a le remedia.

Pluginuri WordPress pentru a activa anteturile de securitate:

1. Anteturi HTTP pentru a îmbunătăți securitatea site-ului web.
2. Anteturi de securitate GD.

9. Setați permisiunile corecte pentru fișierele WordPress

Permisiunile pentru fișiere sunt reguli ale sistemului de operare care găzduiesc fișierele dvs. WordPress; aceste reguli stabilesc modul în care fișierele pot fi citite, editate și executate. Această măsură de securitate este esențială, mai ales atunci când găzduiești un site web pe găzduire partajată.

Dacă este setat incorect, atunci când un site web pe găzduire partajată este piratat, atacatorii pot accesa fișierele de pe site-ul dvs. și pot citi orice conținut de acolo - în special wp-config.php - și pot obține acces complet la site-ul dvs.

• Toate fișierele ar trebui să fie 644.
• Toate folderele ar trebui să fie 775.
• wp-config.php ar trebui să fie 600.

Regulile de mai sus înseamnă că contul dvs. de utilizator de găzduire poate citi și modifica fișiere, iar serverul web (WordPress) poate modifica, șterge și citi fișiere și foldere.

Alți utilizatori nu pot citi conținutul wp-config.php. Dacă setarea 600 pentru wp-config.php duce la scăderea site-ului dvs., modificați-l la 640 sau 644.

10. Dezactivați editarea fișierelor din WordPress

Este o caracteristică cunoscută în WordPress că puteți edita fișiere din backend-ul admin.

Chiar nu este necesar, deoarece dezvoltatorii folosesc SFTP și îl folosesc rar.

11. Dezactivați toate funcțiile inutile

WordPress vine cu multe funcții de care poate nu aveți nevoie deloc. De exemplu, punctul final XML-RPC din WordPress a fost creat pentru a comunica cu aplicații externe. Atacatorii pot folosi acest punct final pentru autentificare în forță brută.

Dezactivați XML-RPC utilizând pluginul Dezactivați XML-RPC-API.

O altă problemă pe care WordPress a încorporat-o este furnizarea unui punct final REST-API pentru a lista toți utilizatorii de pe site.

Dacă adăugați „/wp-json/wp/v2/users” la orice instalare WordPress, veți vedea o listă de nume de utilizator și ID-uri de utilizator ca date JSON.

Dezactivați utilizatorii REST-API adăugând această linie de cod în functions.php

 function disable_users_rest_json( $response, $user, $request ){

 întoarcere '';

}add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );

12. Ascundeți versiunea WordPress

WordPress injectează automat un comentariu cu versiunea WordPress în HTML-ul paginii. Oferă atacatorului versiunea WordPress instalată ca informații suplimentare.

De exemplu, dacă utilizați o versiune WordPress al cărei nucleu a fost raportat că are o vulnerabilitate, atacatorul știe că poate folosi tehnica raportată pentru a vă sparge site-ul.

Ascundeți metaetichetele versiunii WordPress utilizând aceste pluginuri:

1. Meta Generator și Versiune Info Remover.
2. WP Generator Remover de la Dawsun.

13. Instalați un firewall WordPress

Un firewall este o aplicație web care rulează pe site-uri web și analizează orice solicitări HTTP primite. Acesta aplică o logică sofisticată pentru a filtra cererile care pot fi o amenințare.

Se poate configura regulile pe lângă regulile încorporate ale paravanului de protecție pentru a bloca solicitările. Unul dintre tipurile comune de atacuri este injectarea SQL.

Să presupunem că rulați un plugin WordPress care este vulnerabil la injecțiile SQL și nu știți despre el. Dacă rulați un firewall, chiar dacă atacatorul știe despre defectul de securitate din plugin, el nu va putea pirata site-ul.

Acest lucru se datorează faptului că firewall-ul va bloca acele cereri care conțin injecții SQL.

Firewall-urile vor bloca acele solicitări de la IP și vor împiedica sosirea cererilor periculoase succesive. Firewall-urile sunt, de asemenea, capabile să prevină atacurile DDoS detectând prea multe solicitări de la un singur IP și blocându-le.

De asemenea, este posibil să rulați firewall-uri la nivel DNS care rulează înainte ca solicitările să fie făcute către un server web. Un exemplu este paravanul de protecție Cloudflare DNS.

Avantajul acestei metode este că este mai robustă împotriva atacurilor DDoS.

Firewall-urile la nivel de aplicație care rulează pe server lasă cererile HTTP să ajungă pe serverul web și apoi îl blochează. Asta înseamnă că serverul cheltuiește unele resurse CPU/RAM pentru a le bloca.

Cu firewall-uri la nivel DNS, nu cheltuiește resursele serverului, astfel încât este mai durabil la atacuri.

Pluginuri de firewall WordPress pe care le puteți folosi:

1. Wordfence Security.
2. Sucuri.
3. All In One WP Security & Firewall.
4. Securitate BulletProof.
5. Shield Security.

Notă: Dacă decideți să instalați firewall-uri, acestea pot avea caracteristici precum protecția prin forță brută de conectare sau autentificarea 2F și puteți utiliza funcțiile lor în loc să instalați pluginurile menționate mai sus.

14. Păstrați copii de rezervă

Dacă sunteți piratat, cel mai bun mod de a vă recupera este prin restaurarea site-ului web de la cea mai recentă versiune care nu a fost infectată.

Dacă nu stocați copii de siguranță ale site-ului web, curățarea site-ului web poate fi o operațiune care necesită timp. Și, în unele cazuri, este posibil să nu fie posibilă restaurarea tuturor informațiilor, deoarece malware-ul a șters toate datele.

Pentru a evita astfel de scenarii, faceți copii de rezervă regulate ale bazei de date și ale fișierelor site-ului dvs. web.

Verificați cu asistența pentru găzduire dacă oferă funcționalitate de backup zilnic și activați-o. Dacă nu, puteți utiliza aceste pluginuri pentru a rula copii de rezervă:

1. BackWPup.
2. UpdraftPlus.
3. BackupBuddy.
4. BlogVault.

15. Folosiți SFTP

Mulți dezvoltatori folosesc deja SFTP pentru a se conecta la serverele web, dar este important să reamintiți acest lucru, în cazul în care tot nu o faceți.

La fel ca HTTPS, SFTP folosește criptarea pentru a transfera fișiere prin rețea, ceea ce face imposibilă citirea ca text simplu, chiar dacă cineva are acces la rețea.

16. Monitorizați Activitatea Utilizatorilor

Am discutat despre o mulțime de modalități de a vă proteja site-ul de hackeri necunoscuți. Dar ce se întâmplă atunci când unul dintre angajații tăi care are acces la administratorul site-ului face lucruri dubioase, cum ar fi adăugarea de link-uri în conținut?

Niciuna dintre metodele de mai sus nu poate detecta un angajat umbrit.

Acest lucru se poate face urmărind jurnalele de activitate. Analizând activitatea fiecărui utilizator, este posibil să descoperiți că unul dintre angajați a editat un articol pe care nu trebuia să îl facă.

De asemenea, puteți analiza activitățile care par suspecte și puteți vedea ce modificări au fost făcute.

Pluginuri WordPress pentru a monitoriza activitatea utilizatorilor:

1. Jurnalul de activitate.
2. Jurnal de activitate utilizator.
3. Jurnal de activitate WP.

Rețineți că este posibil să doriți să limitați perioada (sau numărul de înregistrări) păstrate de aceste pluginuri. Dacă sunt prea multe, aceasta vă va supraîncărca baza de date și poate afecta performanța și viteza site-ului.

Ce să faci dacă ești piratat?

Chiar și cu toate sfaturile experților în securitate și cunoașterea modalităților de a vă întări site-urile web împotriva hackurilor, acestea încă se întâmplă.

Dacă site-ul dvs. a fost spart, trebuie să efectuați acești pași de mai jos pentru a recupera:

1. Schimbați-vă mai întâi toate e-mailurile și celelalte parole personale, deoarece hackerii ar putea să fi obținut mai întâi acces la e-mailul dvs. și, astfel, să poată accesa site-ul dvs.
2. Restaurează-ți site-ul web la cea mai recentă copie de rezervă cunoscută, non-pirată.
3. Resetați parolele tuturor utilizatorilor site-ului web.
4. Actualizați toate pluginurile dacă există actualizări disponibile.

Concluzie

Gândește-te la 360° când vine vorba de securitate. Subliniați importanța securității pentru toți angajații dvs., astfel încât aceștia să înțeleagă consecințele pe care compania le poate suferi dacă nu respectă regulile de securitate.

Dacă sunteți piratat, ]recuperați site-ul dvs. din backup și schimbați toate parolele pentru site-ul dvs. web și e-mailurile cât mai curând posibil.