Top 10 probleme de securitate WordPress și cum să le remediați

Rețineți că temele și pluginurile neutilizate sau inactive reprezintă o amenințare serioasă pentru site-ul WordPress. Prin urmare, este extrem de important ca toate pluginurile și temele care nu sunt utilizate să fie șterse imediat pentru a vă asigura că nu rămân date în baza de date WordPress. Iată un ghid adecvat despre cum să dezinstalați corect pluginurile WordPress.

Ca măsură de precauție generală, descărcați întotdeauna cea mai recentă versiune de teme și pluginuri dintr-o resursă de încredere pentru a vă asigura că pluginul sau tema nu deschid o nouă lacună de securitate pe site-ul dvs.

Nu atât de de bază

NU, pentru că înțelegeți elementele de bază ale securității WordPress, este timpul să consultați următoarele sfaturi avansate pentru a consolida securitatea site-urilor dvs. web.

SFAT # 8: Preveniți injecțiile SQL și piratarea URL-urilor

Injecțiile SQL sunt atacuri în care atacatorii încorporează comenzi SQL în diferite zone ale site-urilor web (în special în caseta de comentarii și în zonele text). Aceste comenzi pot compromite baza de date SQL și pot dezvălui informații sensibile stocate în baza de date.

Modificarea adresei URL prin adăugarea de declarații PHP este o altă amenințare potențială pentru securitatea WordPress, în care atacatorii pot declanșa atacuri asupra bazei de date și a altor componente ale site-ului web.

Majoritatea site-urilor web WordPress sunt găzduite pe un server Apache care are un truc inteligent pentru a contracara aceste atacuri. Toate serverele Apache au un fișier .htaccess care definește regulile de acces pentru site-ul web.

Pentru a reduce incidența injecțiilor SQL și a piratării URL-urilor, adăugați următorul cod în fișierul .htaccess pentru a stabili un set puternic de reguli.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC]
RewriteRule ^ (. *) $ - [F, L]
RewriteCond% {QUERY_STRING} \. \. \ / [NC, SAU]
RewriteCond% {QUERY_STRING} boot \ .ini [NC, OR]
RewriteCond% {QUERY_STRING} etichetă \ = [NC, SAU]
RewriteCond% {QUERY_STRING} ftp \: [NC, OR]
RewriteCond% {QUERY_STRING} http \: [NC, OR]
RewriteCond% {QUERY_STRING} https \: [NC, OR]
RewriteCond% {QUERY_STRING} (\ <|% 3C). * Script. * (\> |% 3E) [NC, SAU]
RewriteCond% {QUERY_STRING} mosConfig_ [a-zA-Z _] {1,21} (= |% 3D) [NC, OR]
RewriteCond% {QUERY_STRING} base64_encode. * \ (. * \) [NC, SAU]
RewriteCond% {QUERY_STRING} ^. * (\ [| \] | \ (| \) | <|> | E | "|; |?? \ * | = $). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (& # X22; | & # x27; | & # x3C; | & # x3E; | & # x5C; | & # x7B; | & # x7C;). * [NC, OR ]
RewriteCond% {QUERY_STRING} ^. * (% 24 & x). * [NC, SAU]
RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127 \ .0). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Globals | encode | localhost | loopback). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Cerere | selectare | inserare | unire | declarare). * [NC]
RewriteCond% {HTTP_COOKIE}! ^. * WordPress_logged_in _. * $
RewriteRule ^ (. *) $ - [F, L]
</IfModule>

După cum puteți vedea, codul „igienizează” datele care intră în câmpurile de intrare. În plus, toate aceste intrări sunt tratate ca un șir în loc de o instrucțiune de interogare SQL.

SFAT # 9: refuzați accesul la fișierele sensibile din WordPress

O instalare WordPress conține mai multe fișiere sensibile, cum ar fi fișierele wp-config.php , install.php și readme.html . Aceste fișiere trebuie păstrate ascunse de orice acces exterior.

Din nou, .htaccess este cel mai bun prieten al tău. Puteți adăuga următoarele linii în fișier pentru a împiedica ștergerea fișierelor importante. Următorul fragment de cod împiedică, de asemenea, accesul la listele de directoare ale utilizatorilor și ascunde fișierele sensibile ale serverului și WordPress de accesul neautorizat.

 Opțiuni Toate -Indexele

<files .htaccess>
Ordinul permite, refuză
Negati de la toti
</files>

<files readme.html>
Ordinul permite, refuză
Negati de la toti
</files>

<file license.txt>
Ordinul permite, refuză
Negati de la toti
</files>

<files install.php>
Ordinul permite, refuză
Negati de la toti
</files>

<files wp-config.php>
Ordinul permite, refuză
Negati de la toti
</files>

<fișier eroare_log>
Ordinul permite, refuză
Negati de la toti
</files>

<files fantastico_fileslist.txt>
Ordinul permite, refuză
Negati de la toti
</files>

<fișiere fantversion.php>
Ordinul permite, refuză
Negati de la toti
</files>

Dacă doriți să aprofundați utilizarea fișierului .htaccess pentru optimizarea WordPress-ului dvs., iată o descriere detaliată a fișierului .htaccess WordPress.

SFAT # 10: Schimbați prefixul implicit pentru baza de date

Ascundeți versiunea WordPress : în mod implicit, WordPress adaugă automat numărul versiunii curente la secțiunea principală a temelor. Un sfat extraordinar de securitate este să nu afișați NICIODATĂ versiunea WordPress în mod public, pur și simplu din cauza faptului că atacatorii pot lansa atacuri împotriva tuturor vulnerabilităților cunoscute ale versiunii menționate în antet.

Următoarea linie simplă de cod ar trebui să fie inclusă în fișierul functions.php al temei dvs. pentru a ascunde versiunile WordPress.

 remove_action ('wp_head', 'wp_generator');

Schimbați prefixul WordPress implicit pentru baza de date : Toate tabelele dintr-o bază de date WordPress au nume care încep cu prefixul Deși aceasta pare a fi o caracteristică excelentă, pentru hackerii WordPress, acest lucru simplifică foarte mult lucrurile, eliminând unele dintre presupunerile.

Un utilizator poate limita această predictibilitate schimbând prefixul WordPress implicit al tabelelor bazei de date utilizator în timp ce instalează WordPress. Acest lucru se poate face și pentru site-urile web deja active prin manipularea bazelor de date ale utilizatorilor în mai multe locuri. Vă recomand să utilizați unul dintre cele mai bune pluginuri de securitate WordPress care implementează o serie de sisteme de apărare pentru site-ul web WordPress.

Cloudways ajută la securizarea site-urilor WordPress

După acest ghid detaliat pentru securizarea site-urilor web WordPress, merită menționat faptul că WordPress nu poate fi securizat izolat. Utilizatorii WordPress ar trebui, de asemenea, să opteze pentru un mediu de găzduire sigur, care oferă un mediu sigur pentru site-ul web.

Iată cum Cloudways oferă un mediu securizat de găzduire WordPress.

• Infrastructură cloud de primă clasă : Cloudways a colaborat cu furnizori de infrastructură cloud de top, care au ca preocupare numărul unu securitatea. Găzduirea unui site WordPress pe cloud asigură un nivel ridicat de securitate.
• Firewall-uri : Toate serverele lansate prin Cloudways vin cu un firewall preinstalat care acționează ca prima linie de apărare a site-ului web.
• Monitorizarea serverului : monitorizarea unui server ajută la identificarea creșterilor neașteptate de trafic ridicat care pot duce la scăderea site-ului web.
• Protecția împotriva botului: Protecția împotriva botului are ca scop identificarea și blocarea traficului rău intenționat, protejarea împotriva atacurilor precum atacurile din dicționar, Web Scraping și atacurile Forței Brute. De asemenea, ajută la reducerea utilizării resurselor serverului pentru aplicațiile WordPress. Aceste atacuri sunt vizate pentru a obține acces neautorizat la site-ul dvs. web sau pentru a-l copleși, dar Protecția împotriva botului monitorizează toate aceste activități și blochează proactiv la detectare.
• Acces SSH și SFTP : Mulți furnizori de găzduire folosesc în continuare FTP pentru a accesa fișiere. Cu toate acestea, cu Cloudways SFTP (Secure File Transfer Protocol) conexiunea dvs. este criptată și sigură. Dacă mai multe echipe lucrează la un proiect găzduit pe un server, li se poate atribui acces la o anumită aplicație în locul întregului server.
• Sisteme de operare și aplicații actualizate : Experții de la Cloudways urmăresc ultimele versiuni și le asigură disponibilitatea după testele de stabilitate și compatibilitate.
• Acreditări generate aleatoriu : toate aplicațiile lansate prin Cloudways au acreditări implicite generate aleatoriu, care sunt greu de ghicit.
• Backup : În caz de dezastru, backupul site-ului este cel mai bun pariu pentru o recuperare mai rapidă în caz de dezastru. Puteți seta frecvența de rezervă la o oră.
• Certificat SSL gratuit : Cloudways oferă o instalare a unui certificat SSL cu un singur clic, cu o funcție de reînnoire automată.
• Mediu de organizare gratuită: Cloudways oferă un mediu de organizare WordPress gratuit pentru a vă asigura că totul continuă să funcționeze conform intenției.
• Suport chat live 24/7 : Încă vă faceți griji cu privire la securitatea și performanța serverului? Asistența Cloudways este întotdeauna acolo non-stop.
• Asistență telefonică: Acesta este suplimentul de asistență premium dacă aveți nevoie de asistență, pe care îl puteți contacta și inginerul nostru superior cu răspuns direct oricând.

Întrebați frecvent

Î: Cum repar WordPress nu este sigur?

R: Urmați acest ghid și vedeți toate punctele pe care le-am menționat, sper că vă va ajuta foarte mult.

Î: Ar trebui să folosesc un certificat SSL pentru a-mi securiza site-ul WordPress?

R: Da, ar trebui, majoritatea companiilor de găzduire oferă certificat SSL gratuit cu un singur clic.

Î: WordPress are probleme de securitate?

R: WordPress este cel mai favorizat Sistem de management al conținutului (CMS) utilizat astăzi. Cu ajutorul a numeroase teme și plugin-uri, puteți personaliza cu ușurință site-ul web în funcție de gust și preferințe. Cu toate acestea, WordPress Security este una dintre problemele majore, care este o preocupare pentru mulți.

Linia de fund

Sfaturile de securitate WordPress asigură un site web eficient și sigur. Cu toate acestea, mulți oameni uită că apărarea unui site web WordPress este un proces continuu care necesită o atenție continuă în fața noilor instrumente și trucuri care apar în spațiul cibernetic.

Vă sugerez insistent utilizatorilor WordPress să păstreze un jurnal cu ceea ce s-a întâmplat pe WordPress utilizând un plugin de audit de securitate și să utilizeze pluginul de securitate WordPress preferat care întărește mediul WordPress împotriva amenințărilor la adresa securității.

Simțiți-vă liber să adăugați dacă credeți că am pierdut ceva. Îl voi adăuga la listă cât mai curând posibil. Dacă aveți întrebări, vă rugăm să postați în comentariile de mai jos.