WordPress – metode de securizare a site-ului web

• Cele mai bune practici pentru îmbunătățirea securității în WordPress

Sistemul de gestionare a conținutului (engl. CMS) WordPress este fără îndoială cea mai populară aplicație utilizată pentru a lansa pagini web. Datorită popularității sale, acesta este la fel de populară printre hackeri, care de cele mai multe ori preiau controlul site-urilor neprotejate și/sau neactualizate bazate pe acest sistem.

Mai jos, prezentăm câteva practici bune, pe care vă încurajăm să le utilizați pentru a crește nivelul de securitate al site-ul dvs. bazat pe sistemul WordPress.

Cele mai bune practici pentru îmbunătățirea securității în WordPress

1. CELE MAI IMPORTANTE! Nu uitați despre actualizările WordPress și actualizările extensiilor și temelor! Aceasta este cea mai importantă regulă, dacă nu o urmați, atunci puteți să uitați sfaturile, care urmează.
   Cu versiunea WordPress 3.7, dezvoltătorii de aplicații au implementat un mecanism de actualizări automate. Această funcție efectuează actualizările WordPress fără intervenția dvs., de îndată ce producătorul le publică pentru a fi aplicate de către utilizatori.
2. Modificați prefixul implicit wp_ pentru tabelele din baza de date. Puteți modifica prefixul prestabilit cu un prefix propriu în timpul instalării programului WordPress. După instalare, schimbarea prefixului este posibilă și pentru cele existente. Pentru a face acest lucru, puteți utiliza instrumentul phpMyAdmin. După ce vă conectați la baza de date, selectați toate tabelele, selectați opțiunea „Modificarea prefixului tabelului” și specificați noul prefix, pe care doriți să-l aplicați tabelelor WordPress.
   Modificarea numelui prefixului de tabel necesită, de asemenea, actualizarea intrărilor în două tabele WordPress: xltw4_options și xltw4_usermeta. Vă recomandăm să utilizați următoarele comenzi pentru a căuta intrări cu prefixul de tabel vechi, pe care îl veți schimba:
   pentru tabelul prefix_options:

   SELECT * FROM `xltw4_options` WHERE `option_name` LIKE '%wp_%';

   pentru tabelul prefix_usermeta:

   SELECT * FROM `xltw4_usermeta` WHERE `meta_key` LIKE '%wp_%';

   Ca rezultat al efectuării interogării, va fi afișată o listă de rânduri, în care prefixul vechi de tabel ‘wp_‘ trebuie înlocuit cu ‘xltw4_‘ în cazul nostru.

   Rețineți! După modificarea prefixului tabelelor din baza de date, actualizați prefixul în fișierul wp-config.php. În caz contrar, pagina nu va mai fi afișată.
   După setarea prefixului unic pentru baza de date (de preferință un șir aleator), site-ul dvs. va fi mai puțin susceptibil la atacurile automate de tip SQL Injection.
3. Schimbarea ID-ului și a numelui de utilizator al administratorului principal. La ID, merită să dai un număr mare, format din mai multe cifre. Problema cu schimbarea numelui de utilizator implicit „admin” poate că nu este deosebit de importantă (mai ales dacă urmați toate celelalte recomandări ale noastre), dar pentru liniștea dvs. este mai bine să nu îl folosiți.
   Puteți schimba ID-ul și login-ul administratorului prin intermediul phpMyAdmin (prin conectarea la baza de date, în care a fost instalat WordPress). Mai departe, în tabelul xxx_users, puteți schimba datele utilizatorilor (ID și login).
   IMPORTANT! După schimbarea ID-ului de utilizator, este necesar să efectuați aceste modificări (setarea ID-ului NOU) în tabelul xxx_usersmeta.
4. Restricționați accesul la /wp-admin/ utilizând .htaccess (accesul la panoul de administrare WordPress permis numai pentru anumite adrese IP). Mai multe informații despre limitarea accesului la site-uri pot fi găsite aici. Pentru a restricționa accesul unei adrese IP, plasați următorul cod în fișierul .htaccess:

   AuthName "Example Access Control"
   AuthType Basic
   
   order deny,allow
   deny from all
   allow from 212.85.96.1

   IMPORTANT! Fișierul .htaccess cu acest conținut trebuie plasat în directorul /wp-admin/. În loc de „212.85.96.1”, introduceți adresa dvs. IP permanentă. În cazul în care aveți îndoieli dacă furnizorul de Internet v-a alocat o adresă IP permanentă, contactați-l pentru a clarifica aceste informații.
5. Modificați adresa de conectare la backend-ul WordPress. Scripturile care atacă paginile construite pe WordPress întotdeauna încearcă să acceseze aceeași structură de adrese (de ex. /wp-content/, /wp-admin/ etc). O soluție bună este să schimbați adresa unde vă conectați la panoul WordPress, pentru a face dificilă preluarea contului. Recomandăm extensia WPS Hide Login – după instalare, setați o nouă cale de conectare, la backend și… asta e tot!
   Rețineți – extensia va funcționa imediat după salvarea modificărilor din setări, astfel încât atunci când încercați să vă conectați din la panoul WordPress, trebuie să introduceți noua adresă de backend.
6. Activați conectarea cu adresa de e-mail. Vă conectați la multe site-uri Web prin furnizarea unei adrese de e-mail în loc de un login. De ce să nu profitați de această opțiune în WordPress? Utilizând extensia WP Email Login, veți activa funcția de cerere a adresei de e-mail în timpul conectării la backend-ul WordPress. WordPress – Fereastra de conectare – Conectați-vă la site folosind adresa de e-mail
7. Dacă nu utilizați editorul fișierelor de temă și de extensii în WordPress – dezactivați-l! Puteți dezactiva tuturor administratorilor posibilitatea de modificare a fișierelor de teme și de extensii utilizând panoul de administrare WP. În această situație, numai cei care au acces la serverul FTP vor putea modifica fișierele. Pentru a face acest lucru, pur și simplu adăugați în fișierul wp-config.php următoarea linie:

   define ('DISALLOW_FILE_EDIT', true);

   În acest fel, veți reduce riscul adăugării unui cod malițios pe site de către persoane, care au dobândit acces neautorizat la panoul de administrare WordPress.

8. Opriți funcția de înregistrare a utilizatorilor. Dacă nu intenționați să permiteți înregistrarea conturilor pe site-ul dvs., vă sugerăm să dezactivați complet posibilitatea de înregistrare în setările WordPress (Setări -> Setări generale -> Membri).
9. Configurați autentificarea cu doi factori (2FA). Dubla autentificare (2FA) constă în adăugarea celei de-a doua etape în procesul de logare la WordPress. În plus față de ceva ce vă aduceți aminte (parola), sistemul va întreba despre ceva ce aveți întotdeauna la dvs. (smartphone). Datorită acestui lucru, chiar dacă cineva află parola dvs., nu va putea să se conecteze la WordPress fără a avea acces la telefonul smartphone.
   Pentru a rula o autentificare cu doi factori în WordPress, este necesar să instalați extensia corespunzătoare (de ex. Two Factor Authentication) și să instalați aplicația Google Authenticator pe un smartphone cu Android sau cu iOS. După conectarea la WordPress și instalarea extensiei Two Factor Authentication, veți putea să o conectați la aplicația Google Authenticator, care va genera pe telefon codurile necesare pentru conectare.
10. Extensii de siguranță suplimentare. Puteți găsi în rețea extensii WordPress suplimentare pentru îmbunătățirea nivelului de securitate WordPress. Cele mai populare sunt, fără îndoială, Shield, Sucuri, WordFence și iThemes Security.
    Faceți backup periodic (backup de date). Datele de pe toate serverele ionos.ro sunt arhivate ciclic (în fiecare zi în timpul nopții). Arhivarea copiilor de rezervă se efectuează într-o manieră punctuală în anumite momente ale nopții. Din acest motiv, merită să aveți ocazia de a face o copie de rezervă în orice moment (de ex. imediat după efectuarea unor modificări majore pe site).
    Care extensie merită instalată? Opiniile despre eficiența extensiilor de mai sus sunt împărțite printre utilizatorii WordPress. Veți găsi același număr de voturi PENTRU, precum și ÎMPOTRIVA instalării acestor extensii. Lăsăm această decizie la alegerea dvs.
11. Faceți backup periodic (backup de date). Datele de pe toate serverele ionos.ro sunt arhivate ciclic (în fiecare zi în timpul nopții). Arhivarea copiilor de rezervă se efectuează într-o manieră punctuală în anumite momente ale nopții. Din acest motiv, merită să aveți ocazia de a face o copie de rezervă în orice moment (de ex. imediat după efectuarea unor modificări majore pe site).
    În acest scop, puteți utiliza extensia populară: Duplicator, care este un instrument de backup avansat și, în același timp, simplu. Datorită acestui lucru, veți putea restabili pagina WordPress într-o situație de urgență, atunci când site-ul nu mai funcționează.
12. Înlăturați extensiile și temele inutile. Eliminați software-ul, pe care nu îl utilizați, deoarece un astfel de extensii sau teme nefolosite și neactualizate pot fi utilizate ca țintă de atac în viitor.
    Vă recomandăm să instalați extensii și șabloane numai din surse verificate!
    Un loc sigur pentru a descărca extensii și teme pentru WordPress este baza oficială. Extensiile, care ajung acolo, trec mai întâi printr-un proces de verificare înainte de a fi puse la dispoziție și sunt verificate pentru prezența codului malițios. Baza este folosită în fiecare zi de mii de utilizatori, care captează și raportează rapid orice problemă.
13. Activați deservirea HTTPS:// (Certificat SSL). Certificatele SSL sunt deja o cerință pentru majoritatea site-urilor Web. Creșterea nivelului de securitate a datelor stocate pe site, a datelor trimise de clienți (formulare de contact, coșuri în magazinele online) și, în sfârșit, credibilitatea mai mare a site-ului atât pentru vizitatori, cât și pentru motoarele de căutare (de ex. Google).
    Comandați certificatul SSL chiar astăzi. Aveți grijă de securitatea site-ului dvs. web, a poștei e-mail, a datelor utilizatorilor. Înregistrați SSL în ionos.ro și controlați toate serviciile dintr-un singur Panou de Client.
    Chiar și autorii WordPress comunică în mod oficial necesitatea de a instala certificate SSL pe site-urile bazate pe WordPress (a se vedea: În 2017 WordPress numai cu certificat SSL).
    Dacă este deja instalat un certificat SSL pe serverul dvs., activați deservirea acestuia în WordPress. Această operație se reduce la furnizarea adresei corecte (https:// în loc de http://) în setările aplicației (Setări -> General). În plus, la fișierul .htaccess din folderul principal WordPress, merită adăugată următoarea intrare:

    RewriteEngine be
    RewriteCond% {HTTPS}! = Be [NC]
    RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]

14. Utilizați parole securizate lungi (inclusiv pentru panoul de administrare WordPress și serverul FTP) și utilizați software antivirus actualizat, de ex. Kaspersky.
    Niciun mijloc de securitate nu va fi eficient dacă utilizați o parolă ușor de spart!

Rezumat – nu uitați să verificați site-ul dvs. WWW! Majoritatea scripturilor malițioase, care atacă site-urile web bazate pe WordPress, nu sunt destinate să distrugă site-ul preluat. În general, acestea atașează la pagini coduri, care trimit spam sau redirecționează vizitatorii la alte adrese URL (de asemenea, pot încărca pagini rău intenționate într-un cadru iframe ascuns). Utilizatorii site-ului pot să nu știe că au fost adăugate scripturi malițioase la site-ul lor.