Găzduire ca o bucată de tort cu Hostt.pl
Cum să vă protejați site-ul WordPress de viruși și hackeri?
Introducere
Mulți proprietari de site-uri web nu se gândesc să-și securizeze site-urile WordPress până când nu se întâmplă ceva. Cel mai bine este să faci astfel de lucruri imediat după ce ai adus site-ul într-o stare de utilizare. Există multe lucruri pe care le puteți face pentru a vă face site-ul mai sigur, despre care vă voi spune în această postare.
Nu vrei să afli brusc că cineva a spart site-ul tău grozav, realizat profesional și l-a dat peste cap, nu? Atunci este timpul să luați măsuri!
Elementele de bază ale securității WordPress
De ce este importantă securitatea WordPress?
Un site WordPress piratat poate provoca daune grave – veniturilor și reputației companiei dumneavoastră, de exemplu. Hackerii pot fura informații despre utilizator, parole, pot instala programe malware și chiar pot distribui malware utilizatorilor tăi.
În martie 2016, Google a raportat că peste 50 de milioane de utilizatori de site-uri web au fost avertizați că site-ul pe care îl vizitau ar putea conține programe malware sau că datele lor erau în pericol.
În plus, Google pune pe lista neagră aproximativ 20.000 de site-uri web în fiecare săptămână pentru malware și aproximativ 50.000 pentru phishing*.
Dacă site-ul dvs. este un site corporativ, atunci trebuie să acordați o atenție deosebită securității WordPress.
*Pur și simplu, phishingul este o metodă de fraudă în care un infractor se uzurpă pentru o instituție sau o persoană pentru a obține informații personale precum: numere de cont bancar și de card de credit, parola de conectare și alte informații confidențiale.
Actualizări WordPress
WordPress este un software open source care este auditat și actualizat în mod constant. În mod implicit, WordPress instalează automat actualizări minore, dar pentru actualizări majore, va trebui să o faceți manual.
WordPress vine, de asemenea, cu mii de plugin-uri și teme pe care le puteți instala pe site-ul dvs. web. Acestea sunt întreținute de dezvoltatori terți care lansează în mod regulat actualizări care sunt esențiale pentru securitatea și stabilitatea site-ului dvs. WordPress.
Parolele și permisiunile utilizatorului
Puteți face cele mai comune încercări de hacking mai dificile utilizând parole mai puternice, care sunt unice pentru site-ul dvs. Nu numai pentru zona de administrare WordPress, ci și pentru conturile FTP, baza de date, contul de găzduire WordPress și adresele de e-mail personalizate care folosesc numele de domeniu al site-ului tău.
Mulți oameni nu le place să folosească parole puternice, deoarece sunt greu de reținut, dar acum nu trebuie să vă mai faceți griji pentru asta – doar utilizați un manager de parole. Partea bună este că nu trebuie să vă mai amintiți parolele. Cele mai populare sunt probabil Dashlane, Keeper, RoboForm și LastPass.
O altă modalitate de a reduce riscul este să nu oferi nimănui acces la contul tău de administrator WordPress decât dacă este absolut necesar. Dacă aveți o echipă mare sau autori invitați, atunci asigurați-vă că înțelegeți pe deplin rolurile și capacitățile utilizatorilor din WordPress înainte de a adăuga noi conturi de utilizator și autor pe site-ul dumneavoastră WordPress.
Rolul gazduirii web
Serviciile de găzduire joacă cel mai important rol în securitatea site-ului dumneavoastră WordPress.
Un furnizor bun de găzduire își păstrează serverele în siguranță, ceea ce vă oferă un avantaj. Monitorizare constantă pentru detectarea activităților suspecte, prevenirea atacurilor DDOS, cele mai recente versiuni de PHP și software de server pentru a evita vulnerabilitățile din versiunile mai vechi, planuri de recuperare a datelor în caz de dezastru și multe altele – și aceasta este doar o picătură în ocean.
Utilizarea unui serviciu de găzduire WordPress gestionat oferă mult mai multă securitate pentru site-ul dvs. Companiile de găzduire specializate în WordPress oferă backup automat, actualizări automate WordPress și configurații de securitate mai avansate pentru a vă proteja site-ul.
Cel mai bun plugin de securitate WordPress
Pentru a avea mai multă grijă de site-ul dvs., trebuie să instalați și să activați pluginul gratuit Sucuri Security.
Odată activat, trebuie să accesați meniul Sucuri din administratorul WordPress. Primul lucru care vi se va cere este să generați o cheie API gratuită. Acest lucru permite înregistrarea, verificarea integrității și alte funcții importante. După ce primiți cheia, veți putea bloca zonele care sunt cel mai des folosite de hackeri. În plus, setările implicite ale pluginului sunt potrivite pentru majoritatea site-urilor web și nu necesită nicio modificare. Singurul lucru pe care îl puteți personaliza este „Alerte prin e-mail” – setările lor originale vă pot aglomera căsuța de e-mail cu e-mailuri, așa că este recomandat să utilizați alerte doar pentru activități importante.
Copii de rezervă
Backup-urile sunt principala ta apărare împotriva atacurilor. Amintiți-vă că nimic nu este 100% sigur. Dacă site-urile web guvernamentale pot fi piratate, la fel și ale dumneavoastră. Acestea vă permit să vă restaurați rapid site-ul WordPress în cazul în care s-ar întâmpla ceva rău.
Există o mulțime de pluginuri de backup WordPress gratuite și plătite pe care le puteți folosi. Cel mai important lucru pe care trebuie să-l știți când vine vorba de backup-uri este că trebuie să faceți în mod regulat o copie de rezervă a întregului site într-o locație de la distanță (nu o faceți în contul dvs. de găzduire sub nicio circumstanță). Cel mai bine este să le stocați în cloud.
Securitatea WordPress este o simplă simplă
Schimbați numele de utilizator implicit
Pe vremuri, numele de utilizator implicit al administratorului WordPress era „admin”, iar acest lucru le făcea mai ușor pentru hackeri să lanseze atacuri.
Acum WordPress vă cere să alegeți un nume de utilizator personalizat în momentul instalării. Dacă încă puteți seta un nume implicit, atunci luați în considerare dacă ați ales găzduirea potrivită.
Deoarece, în mod normal, WordPress nu vă permite să vă schimbați numele de utilizator, există trei metode pe care le puteți utiliza pentru a vă schimba numele de utilizator.
Creați un nou nume de utilizator de administrator și ștergeți-l pe cel vechi.
Utilizați pluginul de actualizare nume de utilizator.
Actualizați numele de utilizator din phpMyAdmin.
Limitați încercările de conectare
În mod implicit, WordPress permite utilizatorilor să încerce să se autentifice de câte ori doresc. Acest lucru lasă site-ul dvs. WordPress vulnerabil. Hackerii încearcă să spargă parole încercând să se autentifice cu diferite combinații, așa că astfel de posibilități sunt la îndemână pentru ei.
Acest lucru poate fi rezolvat cu ușurință prin limitarea încercărilor eșuate de conectare pe care le poate face un utilizator. Dacă utilizați un paravan de protecție, acesta se ocupă automat, dar… dacă nu aveți un paravan de protecție configurat, va trebui să instalați și să activați pluginul Login LockDown, să activați pluginul și să îl configurați. Toată magia!
Adăugați autentificare cu doi factori
Tehnica de autentificare cu doi factori cere utilizatorilor să se conecteze folosind o metodă de autentificare cu doi factori. Primul este să vă introduceți numele de utilizator și parola, iar al doilea pas necesită să vă autentificați cu un dispozitiv sau o aplicație separată. Majoritatea serviciilor online de top, cum ar fi Google, Facebook, Twitter, vă permit să activați această funcție pentru conturile dvs. De asemenea, puteți adăuga aceeași caracteristică site-ului dvs. WordPress.
În primul rând, trebuie să instalați și să activați pluginul Autentificare cu doi factori sau Google Authenticator. Odată activat, trebuie să faceți clic pe „Two Factor Auth” în bara laterală de administrare WordPress.
Apoi, trebuie să instalați și să deschideți aplicația de autentificare pe telefon. Există mai multe disponibile, cum ar fi Authy și LastPass Authenticator. Ambele aplicații vă permit să faceți copii de rezervă ale conturilor în cloud. Acest lucru este foarte util în cazul în care vă pierdeți telefonul.
Data viitoare când vă conectați la site-ul dvs. web, vi se va cere un cod de autorizare cu doi factori după ce ați introdus parola. Apoi trebuie doar să introduceți codul din aplicație.
Deconectați automat utilizatorii inactivi
Utilizatorii conectați se pot îndepărta uneori de ecran, ceea ce reprezintă un risc de securitate. Cineva își poate deturna sesiunea, își poate schimba parola sau poate face modificări în contul său. Acesta este motivul pentru care multe site-uri bancare și financiare se deconectează automat de un utilizator inactiv. Puteți implementa funcționalități similare pe site-ul dvs. WordPress.
Va trebui să instalați și să activați pluginul Deconectare inactivă. Odată activat, configurați setările pluginului și ați terminat! Doar setați durata și adăugați un mesaj de deconectare. Nu uitați să faceți clic pe butonul Salvare modificări pentru a vă salva setările.
Scanarea WordPress pentru malware și vulnerabilități
Pluginurile de securitate WordPress sunt grozave pentru că trebuie doar să-l instalați și să îl configurați, iar site-ul dvs. va fi la un nivel superior în securitate,
Multe pluginuri de securitate WordPress vor avea caracteristici precum:
-Scanare malware
-Protecție firewall încorporată
-Protecția ecranului de autentificare
-Informații despre pluginuri și teme învechite
-Protecție anti-spam pentru secțiunea de comentarii
Consultați câteva pluginuri de securitate WordPress care merită instalate:
Cele mai multe dintre ele au versiuni gratuite, dar dacă sunteți serios să vă asigurați site-ul, versiunea premium nu va fi o risipă de bani. Puteți începe oricând cu versiunea gratuită a pluginului și faceți upgrade la cea premium atunci când sunteți familiarizat cu toate caracteristicile sale și funcționează bine în protejarea site-ului dumneavoastră.
Remedierea unui site WordPress piratat
Repararea site-ului dumneavoastră WordPress poate fi foarte dificilă și consumatoare de timp, așa că cel mai bine este să lăsați un profesionist să se ocupe. Hackerii instalează așa-numitele „backdoors” și, dacă nu sunt îngrijiți corespunzător, pot pătrunde cu ușurință din nou.
Repararea site-ului dumneavoastră de către un specialist vă va asigura că este sigur de utilizat din nou. De asemenea, vă va proteja de atacurile viitoare.
Alte articole utile
Nu permiteți editarea fișierelor
Dacă un utilizator are acces de administrator la tabloul de bord WordPress, acesta poate edita orice fișiere care pot face parte din instalarea WordPress. Aceasta include, de asemenea, toate pluginurile și temele.
Dacă faceți fișierele needitabile, nimeni nu va putea modifica niciunul dintre ele – chiar dacă un hacker obține acces de administrator la tabloul de bord WordPress.
Pentru a face acest lucru, adăugați următoarele în fișierul wp-config.php (la sfârșit): define(‘DISALLOW_FILE_EDIT’, true);
Utilizați adresa dumneavoastră de e-mail pentru a vă conecta
În mod implicit, trebuie să introduceți numele de utilizator pentru a vă conecta la WordPress. Utilizarea unui ID de e-mail în locul unui nume de utilizator este o modalitate mai sigură.
Numele de utilizator sunt ușor de prezis, în timp ce ID-urile de e-mail sunt o altă problemă. În plus, fiecare cont de utilizator WordPress este creat cu o adresă de e-mail unică, ceea ce face lucrurile mai ușoare.
Există mai multe plugin-uri de securitate WordPress care au o configurație specială a paginii de conectare în opțiunile lor, astfel încât toți utilizatorii trebuie să-și folosească adresele de e-mail pentru a se conecta.
Redenumiți adresa URL de conectare
Schimbarea adresei URL de conectare este un lucru foarte ușor de făcut și vă va securiza și mai mult site-ul WordPress. În mod implicit, pagina de autentificare WordPress este accesată prin wp-login.php sau wp-admin adăugat la adresa URL rădăcină a site-ului dvs.
Odată ce hackerii cunosc adresa URL directă a paginii de conectare, pot încerca să forțeze drumul înăuntru. Apoi încearcă să se conecteze folosind GWDb (Guess Work Database, care este o bază de date cu nume de utilizator și parole.
Acest mic truc limitează accesul neautorizat la pagina de conectare. Numai cineva cu adresa URL exactă o poate face.
Cel mai simplu mod de a vă schimba adresa URL de conectare este să utilizați pluginul WPS Hide Login, bine numit. Este foarte usor de folosit; trebuie doar să introduceți noua adresă URL a paginii de conectare și să salvați modificările.
Utilizați un certificat SSL pentru a vă cripta datele
Implementarea unui certificat SSL (Secure Socket Layer) este una dintre cele mai bune mișcări pentru a vă securiza panoul de administrare. SSL asigură transferul securizat de date între browserele utilizatorilor și server, făcând dificil pentru hackeri să vă spargă conexiunea sau să vă falsifice datele.
Obținerea unui certificat SSL pentru site-ul tău WordPress este ușor. Îl puteți cumpăra de la o terță parte sau puteți verifica dacă compania dvs. actuală de găzduire îl oferă.
Certificatul SSL afectează și clasamentele Google. Google tinde să claseze mai sus site-urile cu SSL. Înseamnă și mai mult trafic. Și cine nu și-ar dori asta, nu?
Instalați un firewall
Un alt sfat de securitate WordPress se referă la firewall-urile. Firewall-urile vă protejează, de obicei, computerul de diverse amenințări online. În acest fel, orice conexiune suspectă va fi pusă la îndoială și blocată.
Acest lucru nu are nimic de-a face cu site-ul dvs. WordPress, dar instalarea unui firewall pe computer merită totuși efortul dintr-un motiv esențial și anume – folosiți computerul pentru a vă conecta la zona de administrare a site-ului dvs. Deci, dacă propriul tău computer nu a fost securizat și cineva a spart, conexiunea ta la site ar putea fi compromisă. Puteți utiliza Norton Internet Security, Comodo sau ZoneAlarm gratuit în acest scop.
Pe lângă instalarea unui firewall pe computer, puteți instala instrumente de securitate direct pe site-ul dvs. WordPress. Acest tip de firewall vă protejează site-ul de viruși, malware, atacuri hackeri etc. Pentru aceasta este recomandat Sucuri, este unul dintre cele mai bune servicii de acest tip pentru WordPress.
Tipuri de hacking
Backdoors
Ușile din spate sunt fișiere infectate care livrează
hackerii ocolesc criptarea de securitate pentru a accesa site-urile WordPress prin metode neobișnuite – wp-Admin, SFTP, FTP etc. Acestea permit hackerilor să facă ravagii pe serverele de găzduire.
Ușile din spate sunt adesea criptate pentru a arăta ca fișiere de sistem WordPress legitime.
Din fericire, prevenirea și remedierea acestei probleme este destul de simplă. Puteți scana site-ul dvs. WordPress cu instrumente precum SiteCheck care le pot detecta cu ușurință. O bună practică este și autentificarea în doi factori, blocarea IP-ului, limitarea accesului administratorului.
Autentificare întreruptă și gestionarea sesiunilor
De fiecare dată când un utilizator se conectează pe site, i se oferă un ID unic de sesiune, cu alte cuvinte, este creat un cookie, care ar trebui protejat și cu un certificat SSL. Dacă un site web are un sistem de autentificare slab, hackerii îl pot folosi pentru a prelua profilul unui utilizator. Un sistem de autentificare slab are următoarele caracteristici:
- ID de sesiune slab: ID-urile de sesiune puternice sunt specifice ca lungime și constau dintr-un anumit set de caractere aleatorii. Folosind caractere ușor de ghicit sau ID-uri scurte face site-ul dvs. vulnerabil la diferite atacuri de hacking.
- ID de sesiune vizibil în URL: ID-urile de sesiune trebuie ascunse, sunt folosite doar pentru a identifica utilizatorul. Dacă site-ul expune ID-ul sesiunii în URL-ul său, oricine poate deturna datele utilizatorilor și chiar ale administratorilor.
- Folosind nume de utilizator și parole simple: mulți proprietari de site-uri web folosesc nume de utilizator ușor de reținut, cum ar fi „admin” și parole precum „parola123”. Reținerea unei parole puternice este dificilă, iar aceeași parolă este folosită cel mai adesea pe diferite conturi de portal. Dacă un hacker pune mâna pe parola ta, toate conturile tale sunt în pericol.
- Gestionarea defectuoasă a numelor de utilizator și a parolelor: stocarea numelor de utilizator și a parolelor în formă necriptată împiedică accesul neautorizat la acreditările dvs. Sistemele de autentificare cu doi factori sunt utile. Acestea oferă un nivel suplimentar de securitate și includ doi pași de verificare a utilizatorului care încearcă să se autentifice.
Phishing
De obicei, pe site-urile de comerț electronic unde sunt stocate informațiile financiare ale utilizatorilor. Atacatorii folosesc cel mai adesea e-mailul pentru a obține date de la utilizator sau folosesc o parte a site-ului web pentru a instala programe spion care efectuează una dintre următoarele:
- colectează nume de utilizator și parole pentru conturile de pe site-urile financiare,
- caută și descarcă informații de pe computerul utilizatorului din memoria cache și cookie-uri,
- apare atunci când deschideți o pagină financiară care solicită numele de utilizator și parola.
Legături simbolice
O legătură simbolică numită legătură simbolică. Hackerii efectuează atacuri de acest tip cu intenția de a obține acces la nucleul întregului server. Dacă site-ul web se află pe un server partajat, aceștia au șansa de a utiliza un număr mare de site-uri web.
Atacurile prin injectare
Prima situație este așa-numitul atac SQL, în care hackerul introduce o comandă prin datele de intrare, permițându-i astfel să acceseze baza de date – să o modifice și să efectueze operațiuni administrative.
Un alt atac este un atac XSS, adică introducerea de scripturi rău intenționate în pagini printr-o aplicație care acceptă date de intrare.
Al treilea tip este atacul MIME, adică derutarea aplicației. Acest lucru profită de tendința aplicațiilor web de a verifica extensia fișierului. Hackerul încarcă un fișier cu extensia corectă care conține de fapt codul. Acest lucru deschide ușa pentru un atac XSS.
Falsificarea
Ai primit un email ciudat de la o rudă? Nu depuneți bani într-un cont necunoscut fără să vă gândiți, pentru că cu siguranță ați căzut victima falsării. Aceasta este o metodă de a uzurpa identitatea unei persoane cu o anumită adresă de e-mail.
Acest tip de atac este foarte comun (și uneori foarte credibil). De obicei, un hacker încearcă să te facă să crezi ceea ce scrie. În plus, are diverse informații despre tine și chiar despre cei dragi.
