Cum să vă protejați site-ul WordPress de hackeri

Unul dintre cele mai importante aspecte ale organizației dumneavoastră pentru a face bine este securitatea web. Dacă site-ul tău web este castelul tău, hackerii sunt armatele invadatoare de astăzi, care încearcă să spargă apărarea site-ului tău pentru a obține acces la comoara ascunsă în interior. Depinde de tine să-i ții la distanță pentru că, dacă nu o faci, vor face mult rău.

WordPress este o platformă CMS populară cu peste 60% din cota de piață. Potrivit experților, peste 500 de site-uri web sunt construite în fiecare zi folosind WordPress site builder. Dacă utilizați WordPress ca platformă de dezvoltare web, este important să luați în considerare securitatea.

Dar cum pot pătrunde hackerii pe site-ul tău și cum îi poți ține afară? Pentru a afla mai multe despre securitatea site-ului WordPress, consultați secțiunile de mai jos:

De ce vizează hackerii securitatea site-ului dvs.?

Protejarea site-ului dvs. de atacuri de hacking este o prioritate pentru orice afacere și cu atât mai mult pentru cei care conduc un magazin online. Ar trebui să ne uităm la „de ce” securității site-ului web înainte de a ne uita la „cum”. Ce îi determină pe hackeri să-ți vizeze site-ul? Cunoașterea răspunsului vă poate ajuta să determinați care părți ale site-ului dvs. necesită cea mai mare protecție.

Următoarea este o listă a celor mai frecvente motive pentru amenințările la securitatea site-ului web:

1. Pentru a obține informații sensibile

Pentru a avea acces la informații confidențiale, hackerii încearcă să pătrundă în site-ul dvs. din mai multe motive. Prima – și cu siguranță cea mai comună – este obținerea de informații sensibile. Aceste informații sunt adesea legate de afacerea dvs. – documentele companiei, înregistrările vânzărilor și alte proprietăți intelectuale pe care hackerii le-ar putea exploata în viitor pentru a vă afecta firma.

Hackerii pot fi, de asemenea, pentru informații despre utilizator. Dacă stocați date despre clienții sau clienții dvs. pe site-ul dvs., în special informații financiare, hackerii le pot folosi pentru a fura bani de la cei care au cumpărat de la dvs.

2. Pentru a găzdui malware

Un alt motiv pentru care hackerii pot viza site-ul dvs. este utilizarea acestuia ca punct de distribuție a virușilor. Când hackerii obțin acces la site-ul dvs. web, ei pot instala viruși și îi pot folosi ca rampă de lansare pentru răspândirea acelor viruși pe Internet.

Această acțiune vă va submina reputația pe lângă Google, care va vedea malware-ul de pe site-ul dvs. și vă va elimina din pozițiile de căutare, pe lângă faptul că va face mai dificilă eradicarea virușilor. Toate eforturile tale în optimizarea pentru motoarele de căutare (SEO) vor fi în zadar.

3. Pentru distracție

În cele din urmă, mulți hackeri accesează site-urile web pentru emoția. Le place să spargă firewall-urile și să vă încălce toate protecțiile pentru a obține satisfacția care vine odată cu preluarea controlului asupra site-ului dvs.

Alții fac un pas mai departe, sperând să-și facă un nume prin înșelătoriile lor. Când un hacker este prins, aceștia apelează adesea la rețelele de socializare pentru a se lăuda cu exploiturile lor. Din păcate, chiar dacă sunt reținuți, răul site-ului dvs. a fost deja făcut.

Care sunt unele amenințări comune la securitatea site-ului web?

Să aruncăm o privire la câteva moduri obișnuite prin care hackerii încearcă să treacă de securitatea dvs. acum că am discutat de ce hackerii vă atacă site-ul și de ce poate fi atât de periculos. Trei tipuri principale de pericole pentru securitatea site-ului pe care să le urmăriți!

1. Viruși și programe malware

Am discutat deja despre modul în care malware-ul poate fi propagat prin site-ul dvs. de către hackeri. Cu toate acestea, malware-ul este o altă modalitate prin care hackerii pot obține acces la site-ul dvs. web.

Adesea, începe cu ceva la fel de simplu ca să faci clic pe un link. Hackerii vor găsi un mijloc de a primi linkuri în fața ta, cel mai frecvent prin e-mailuri. Când faceți clic pe linkuri, va fi eliberat un virus care va intra rapid în site-ul dvs. de pe propriul computer.

Întregul tău site se va defecta în acel moment, lăsându-te blocat și susceptibil la orice încearcă hackerii – ca să nu mai vorbim că vânzările tale vor avea de suferit ca urmare!

2. Legături spam

Hackerii pot încerca adesea să-i convingă pe vizitatorii site-ului dvs. să facă clic pe linkuri rău intenționate, pe lângă încercarea de a vă convinge să faceți acest lucru. Lăsarea de comentarii pe site-ul dvs. este una dintre cele mai populare metode prin care vor face acest lucru.

Fii cu ochii pe ce spun cititorii tăi dacă ai un blog în care pot face comentarii. Hackerii folosesc frecvent canalul pentru a distribui link-uri care descarcă în mod eronat malware pe computerele consumatorilor.

Când Google observă acele link-uri care provin de pe site-ul dvs., vă va penaliza rapid în rezultatele căutării, așa că ar trebui să încercați să evitați să aveți aceste comentarii pe site-ul dvs.

3. Atacurile DDOS

Atacurile distribuite de refuzare a serviciului (DDoS) sunt al treilea tip de problemă de securitate a site-urilor web, și au câștigat popularitate în ultimii ani. Când hackerii vă blochează întregul site, inundându-l cu trafic fals, acest lucru este cunoscut sub numele de atac DDoS.

Hackerii construiesc armate masive de adrese IP false și le comandă tuturor să vă acceseze site-ul în același timp. Site-ul dvs. se va bloca deoarece nu poate gestiona atât de mulți vizitatori. Acest lucru va interzice altor persoane să viziteze site-ul, ceea ce vă va afecta clasarea și conversiile.

De ce este importantă securitatea site-ului?

Un site WordPress piratat poate dăuna semnificativ veniturilor și reputației companiei tale. Hackerii pot fura informații despre utilizator, parole, pot instala software dăunător și chiar vă pot infecta utilizatorii cu programe malware. În cel mai rău caz, ați putea fi forțat să plătiți ransomware hackerilor pentru a recupera accesul la site-ul dvs.

Peste 50 de milioane de utilizatori de site-uri web au fost avertizați că un site web pe care îl vizitează poate conține programe malware sau poate fura informații, potrivit Google. În plus, în fiecare săptămână, Google pune pe lista neagră aproximativ 20.000 de site-uri web pentru malware și aproximativ 50.000 de site-uri web pentru phishing.

Dacă gestionați un site web de afaceri, veți dori să acordați o atenție deosebită securității WordPress. Întrucât este obligația unui adevărat proprietar de magazin să își asigure clădirea, este, de asemenea, responsabilitatea unui proprietar de afaceri online să își apere site-ul.

Cum să vă protejați site-ul WordPress de hackeri

Iată câteva sfaturi despre cum să vă protejați site-ul WordPress de hackeri. Puteți începe prin a vă schimba parolele, asigurându-vă că nu lăsați informații personale în postări sau comentarii, instalând un firewall și software antivirus de înaltă calitate și profitând de numeroasele măsuri de securitate care au fost integrate în WordPress de-a lungul anilor . Să urmăm acești pași pentru a vă securiza site-ul WordPress:

1. Menținerea WordPress la zi

WordPress este un program open-source care este actualizat și întreținut în mod regulat. De aceea, este important să păstrați site-urile WordPress actualizate pentru a le menține în siguranță. WordPress instalează automat actualizări minore în mod implicit. Trebuie să porniți manual actualizarea pentru versiunile majore. WordPress ne reamintește și despre aceste actualizări în secțiunea „Actualizări”.

WordPress vine, de asemenea, cu o bibliotecă de mii de plugin-uri și teme pe care le puteți folosi pentru a vă personaliza site-ul. Dezvoltatorii terți mențin aceste plugin-uri și teme și emit actualizări în mod regulat.

Aceste upgrade-uri WordPress sunt esențiale pentru securitatea și stabilitatea site-ului dvs. WordPress. Verificați dacă nucleul, pluginurile și tema dvs. WordPress sunt toate la zi.

2. Parole puternice și permisiuni de utilizator

Parolele furate sunt folosite în majoritatea încercărilor de hacking WordPress. Utilizați parole mai dure, care sunt unice pentru site-ul dvs. pentru a face acest lucru mai dificil. Nu numai pentru zona de administrare WordPress, ci și pentru conturi FTP, baze de date, conturi de găzduire WordPress și adrese de e-mail personalizate care utilizează numele de domeniu al site-ului dvs. web.

Deoarece parolele puternice sunt greu de reținut, mulți începători le evită. Vestea bună este că nu mai trebuie să memorezi parolele. Puteți utiliza un manager de parole pentru a vă urmări parolele.

O altă strategie de a reduce pericolul este să oferiți contul dvs. de administrator WordPress numai persoanelor de care aveți absolut nevoie. Asigurați-vă că înțelegeți rolurile și capabilitățile utilizatorilor în WordPress înainte de a adăuga noi conturi de utilizator și autori pe site-ul dvs. WordPress dacă aveți o echipă mare sau autori invitați.

3. Rolul găzduirii WordPress

Serviciul dvs. de găzduire WordPress este cel mai critic aspect al securității site-ului dvs. WordPress. O companie competentă de găzduire partajată ar merge mai presus și dincolo de a-și asigura serverele de amenințările frecvente.

Iată cum o companie competentă de găzduire web vă protejează site-urile web și datele din fundal.

• Ei țin cu ochii pe rețeaua lor pentru orice comportament îndoielnic.
• Pentru a preveni atacurile DDOS pe scară largă, toate firmele bune de găzduire au instrumente la locul lor.
• Pentru a preveni hackerii să exploateze o slăbiciune de securitate cunoscută într-o versiune mai veche
• își mențin software-ul serverului, versiunile PHP și hardware-ul la zi.

4. Instalați o soluție de backup WordPress

Backup-urile sunt prima ta linie de apărare în cazul unui atac WordPress. Amintiți-vă că nimic nu este sigur. Dacă site-urile web guvernamentale pot fi sparte, poți fi sigur că și ale tale pot fi sparte.

Backup-urile vă permit să vă recuperați rapid site-ul WordPress dacă ceva nu merge bine. Puteți utiliza o varietate de pluginuri de backup gratuite și plătite pentru WordPress. Cel mai important lucru de reținut despre backup-uri este că backup-urile complete ale site-ului trebuie să fie salvate într-un loc îndepărtat în mod regulat (nu contul dvs. de găzduire).

Vă sugerăm să îl stocați pe un furnizor de cloud precum Amazon, Dropbox sau Google Drive. În funcție de cât de des vă actualizați site-ul web, backup-urile o dată pe zi sau backup-urile în timp real pot fi cea mai bună opțiune.

Backup-ul site-ului dvs. WordPress constă în următoarele:

• Instalare WordPress Core
• Pluginuri WordPress
• Teme WordPress
• Imagini și fișiere
• JavaScript, PHP și alte fișiere de cod
• Fișiere suplimentare și pagini web statice

5. Cel mai bun plugin de securitate WordPress

După copii de siguranță, următorul pas este să construiți un sistem de auditare și monitorizare care să înregistreze tot ce se întâmplă pe site-ul dvs. web.

Monitorizarea integrității fișierelor, încercările eșuate de conectare, detectarea virușilor și așa mai departe sunt toate elementele unui plugin de securitate. Nu sunt suplimente sau suplimente, ci componente vitale ale fiecărui site web WordPress.

Singurul scop al pluginurilor de securitate este de a vă face site-ul în siguranță. Face acest lucru prin alungarea hackerilor, prevenind atacurile, detectând vulnerabilități și atenuându-le înainte ca acestea să devină o problemă. Există multe pluginuri de securitate dintre care puteți alege pentru a vă securiza site-ul.

Vedeți ce pot oferi pluginurile de securitate WordPress:

• Monitorizare activa a securitatii
• Monitorizare pe lista neagră
• Protecție împotriva atacurilor de forță brută
• Scanarea fișierelor
• Firewall-uri
• Scanare malware
• Notificări pentru când este detectată o amenințare la securitate
• Acțiuni post-hack
• Întărirea securității

Și mult mai mult…

6. Activați Web Application Firewall (WAF)

Un plugin de firewall pentru WordPress (cunoscut și ca firewall de aplicație web sau WAF) funcționează ca o barieră între site-ul tău web și tot traficul de intrare. Aceste firewall-uri pentru aplicații web urmăresc traficul site-ului dvs. și împiedică o mulțime de pericole tipice de securitate să ajungă la site-ul dvs. WordPress.

De obicei, aceste firewall-uri pentru aplicații web accelerează și îmbunătățesc performanța site-ului dvs., în plus față de creșterea dramatică a securității WordPress.

Pluginurile pentru firewall WordPress sunt împărțite în două categorii.

Firewall-uri de site la nivel DNS — Aceste firewall-uri filtrează traficul site-ului dvs. prin serverele proxy cloud. Ca rezultat, ei pot livra numai trafic legitim către serverul dvs. web.

Firewall la nivel de aplicație — Aceste pluginuri de firewall inspectează traficul odată ce ajunge la serverul dvs., dar înainte ca majoritatea scripturilor WordPress să fie încărcate. În ceea ce privește minimizarea încărcării serverului, această soluție nu este la fel de eficientă ca un firewall la nivel DNS.

Vă propunem folosirea unui firewall la nivel DNS, deoarece sunt foarte buni în a face distincția între traficul legitim pe site și interogările rău intenționate.

Ei realizează acest lucru prin monitorizarea a mii de site-uri web, comparând tendințele, căutând rețele bot și adrese IP rău intenționate cunoscute și limitând conexiunile la adrese URL pe care vizitatorii dvs. nu le-ar căuta niciodată.

În plus, firewall-urile site-ului la nivel de DNS reduc sarcina pe serverul dvs. de găzduire WordPress, asigurându-vă că site-ul dvs. nu se defectează.

Iată câteva nume de top ale pluginurilor WordPress Firewall:

• Sucuri
• MaxCDN (StackPath)
• Cloudflare
• Wordfence Security
• Jetpack
• Securitate BulletProof
• All in One WP Security
• Firewall BBQ
• Firewall Ninja
• Astra
• MalCare
• Defender Security
• WP Cerber

7. Mutați site-ul dvs. WordPress la SSL/HTTPS

SSL (Secure Sockets Layer) este o tehnică de criptare a datelor care criptează transmisia de date între site-ul dvs. web și browserul utilizatorului. Este mai dificil pentru cineva să cerceteze și să fure informații folosind această criptare. Site-ul dvs. web va folosi HTTPS în loc de HTTP atunci când activați SSL, iar o pictogramă de lacăt va apărea lângă adresa site-ului dvs. în browser.

Autoritățile de certificare au furnizat în mod tradițional certificate SSL, cu prețuri cuprinse între 5 USD și 1.000 USD pe an, în funcție de nivelul nevoilor de securitate ale site-ului dvs. Majoritatea proprietarilor de site-uri web au ales să continue să utilizeze protocolul nesecurizat din cauza costului suplimentar. Pentru a rezolva acest lucru, Let's Encrypt, un grup non-profit, a decis să ofere certificate SSL gratuite proprietarilor de site-uri web. Google Chrome, Facebook, Mozilla și o mulțime de alte companii și-au susținut efortul.

Începeți să utilizați SSL pentru toate site-urile dvs. WordPress este acum mai ușor ca niciodată. Un certificat SSL gratuit pentru site-ul dvs. WordPress este acum disponibil de la mai multe companii de găzduire.

8. Schimbați numele de utilizator implicit „admin”.

Când instalați WordPress, numele de utilizator implicit al administratorului va fi „admin”. Dacă continuați să utilizați „admin” ca nume de utilizator de administrator, este ușor pentru un hacker să obțină acces la site-ul dvs. Hackerii efectuează atacuri de forță brută asupra conturilor în care numele de utilizator implicit este „admin” pentru a încerca să recupereze parole. Când un hacker se conectează la un cont cu numele de utilizator implicit de administrator WordPress, el va avea permisiunea deplină asupra site-ului dvs.

Autentificarea implicită de administrator WordPress era „admin” pe vremea aceea. Deoarece numele de utilizator reprezintă 50% din toate datele de conectare, atacurile cu forță brută au fost simplificate.

Din fericire, WordPress a corectat ulterior acest lucru și acum vă solicită să furnizați un nume de utilizator unic atunci când instalați software-ul.

Cu toate acestea, unii instalatori WordPress cu un singur clic continuă să utilizeze „admin” ca nume de utilizator implicit de administrator. Dacă descoperiți acest lucru, probabil că este o idee bună să vă schimbați furnizorul de găzduire web.

Deoarece WordPress nu vă permite să vă modificați numele de utilizator în mod implicit, va trebui să utilizați una dintre cele trei tehnici.

• Eliminați vechiul nume de utilizator de administrator și creați unul nou.
• Actualizați numele de utilizator din phpMyAdmin
• Utilizați pluginul pentru Schimbarea numelui de utilizator

9. Dezactivați editarea fișierelor

WordPress include un editor de cod care vă permite să editați fișierele de teme și plugin direct din zona de administrare WordPress. Această funcționalitate poate fi o problemă de securitate în mâinile greșite, motiv pentru care vă recomandăm să o dezactivați.

Utilizatorii administratori pot accesa fișierele de bază dacă au „editarea fișierelor” activată. Acesta este un risc de securitate deoarece oricine ar putea intra și ar avea control complet asupra datelor dvs.

Pentru a reduce riscul unei încălcări a securității, dezactivați accesul la codul site-ului dvs. și activați-l numai atunci când trebuie să editați fișiere. Pentru a dezactiva editarea fișierelor în administratorul WordPress, urmați acești pași simpli:

1. Conectați-vă la panoul de control One.com.

2. Deschideți File Manager sub Fișiere și securitate.

3. Localizați fișierul wp-config.php și bifați caseta pentru a-l selecta.

4. Faceți clic pe Editare în bara de meniu din partea de sus a ecranului.

5. Căutați wp-config pentru define('DISALLOW_FILE_EDIT', acesta este de obicei situat în partea de jos.

6. Dacă l-ați găsit, verificați dacă este setat la „adevărat” (vezi mai jos). Dacă nu este acolo, trebuie să-l adăugați în partea de jos a fișierului, astfel:

define('DISALLOW_FILE_EDIT', true);

7. Faceți clic pe Salvare în partea de sus a ecranului.

Sfat: Dacă doriți să permiteți temporar editarea fișierelor, puteți pur și simplu să înlocuiți „adevărat” cu „fals”. Schimbați-l înapoi când ați terminat de editat.

10. Limitați încercările de conectare

WordPress permite utilizatorilor să încerce să se conecteze de câte ori doresc în mod implicit. Site-ul dvs. WordPress este acum expus atacurilor de forță brută. Hackerii încearcă să spargă parole conectându-se cu diferite combinații.

Acest lucru poate fi remediat cu ușurință prin restricționarea numărului de încercări eșuate de conectare ale unui utilizator. Dacă utilizați paravanul de protecție a aplicației web menționat anterior, acesta este rezolvat automat.

Cu toate acestea, dacă nu aveți un firewall, va trebui să configurați unul.

Puteți limita încercările de autentificare în WordPress în două moduri:

1). Limitați încercările de conectare folosind un plugin

2). Limitați încercările de conectare fără un plugin

11. Autorizare cu doi factori

Utilizatorii trebuie să se conecteze utilizând o procedură de autentificare în doi pași atunci când folosesc metodologia de autentificare cu doi factori. Primul pas este să vă introduceți datele de conectare și parola, iar al doilea este să vă autentificați folosind un alt dispozitiv sau aplicație.

Îl puteți activa pentru conturile dvs. pe cele mai populare site-uri web, cum ar fi Google, Facebook și Twitter. Aceeași capacitate poate fi adăugată site-ului dvs. WordPress.

Cerința pentru autentificarea cu doi factori (2FA) a crescut odată cu atacurile cibernetice recente. Prin activarea autentificării cu doi factori în WordPress, vă puteți proteja site-ul sau blogul împotriva hackerilor și a accesului neautorizat. Puteți activa autentificarea cu doi factori (2FA) în WordPress urmând 2 metode diferite:

Metoda 1. Adăugarea autentificării cu doi factori în WordPress

Aceasta este o metodă recomandată, care este cu adevărat ușoară pentru toți utilizatorii. Vă permite să vă faceți contul mai sigur setând autentificarea cu doi factori.

În primul rând, va trebui să instalați și să activați pluginul WP 2FA – Autentificare în doi factori.

După activare, trebuie să vizitați pagina Utilizatori » Profilul dvs. și să derulați în jos la secțiunea „Setări WP 2FA pentru a finaliza procesul.

Metoda 2. Adăugarea autentificării cu doi factori folosind doi factori

Pentru a activa 2FA în WordPress prin această metodă, trebuie să instalați și să activați pluginul Two Factor.

După activarea pluginului, trebuie să vizitați pagina Utilizatori » Profil și să derulați în jos la secțiunea Opțiuni cu doi factori și să urmați instrucțiunile.

12. Schimbați prefixul bazei de date WordPress

Deoarece fiecare informație de pe site-ul dvs. WordPress este păstrată în baza de date, este ținta preferată a unui hacker. Codurile automate de injectare SQL sunt folosite de spammeri și hackeri. Din păcate, în timpul instalării WordPress, multe persoane neglijează să actualizeze prefixul bazei de date. Prin țintirea prefixului implicit wp_, hackerii pot planifica mai ușor un atac în masă. Cea mai inteligentă strategie de a vă proteja baza de date este schimbarea prefixului bazei de date, care este destul de simplu de efectuat pe un site nou. Cu toate acestea, schimbarea eficientă a prefixului bazei de date WordPress pentru site-ul dvs. existent fără a-l încurca complet necesită câțiva pași.

13. Password Protect WordPress Admin și pagina de conectare

Puteți consolida securitatea celui mai important punct de acces al site-ului dvs. prin blocarea cu parolă a directorului dvs. de administrare WordPress.

Tabloul de bord WordPress servește drept inima site-ului dvs. Îl puteți folosi pentru a crea postări și pagini, pentru a vă schimba tema, pentru a instala pluginuri WordPress și multe altele.

Când hackerii încearcă să obțină acces la site-ul dvs., ei folosesc frecvent panoul wp-admin. Folosind o parolă sigură și restricționând încercările de conectare, puteți contribui la protejarea site-ului dvs. de potențiale amenințări. Protejarea directorului dvs. de administrator cu o parolă este o metodă inteligentă de a adăuga un alt nivel de securitate a parolei site-ului dvs.

Urmați acești pași simpli pentru a vă proteja cu parolă administratorul WordPress

Pasul 1: Conectați-vă la cPanel și verificați fila Fișiere.

Pasul 2: Găsiți „Confidențialitatea directorului” și faceți clic pe el.

Pasul 3: Editați folderul wp-admin.

Pasul 4: Parola protejează wp-admin.

Pasul 5: Configurați utilizatorul și parola.

14. Dezactivați indexarea și navigarea în directoare

Hackerii pot utiliza navigarea în directoare pentru a vedea dacă aveți fișiere cu vulnerabilități cunoscute, astfel încât să poată exploata aceste fișiere pentru a obține acces.

Alte persoane pot folosi navigarea în directoare pentru a vă uita la fișierele dvs., a copia fotografii, a afla structura dvs. de directoare și pentru a obține alte informații. Drept urmare, este recomandat să dezactivați indexarea și navigarea în directoare.

Trebuie să vă conectați la site-ul dvs. prin FTP sau managerul de fișiere din cPanel. Găsiți fișierul .htaccess în directorul rădăcină al site-ului dvs. web. După aceea, la sfârșitul fișierului .htaccess, adăugați următoarea linie:

Opțiuni Toate -Indici

Codul modificat va arăta astfel:

Nu uitați să salvați și să reîncărcați fișierul .htaccess pe site-ul dvs.

15. Dezactivează XML-RPC în WordPress

Deoarece ajută la integrarea site-ului dvs. WordPress cu aplicații web și mobile, XML-RPC a fost activat implicit în WordPress 3.5. XML-RPC poate îmbunătăți semnificativ atacurile în forță brută datorită naturii sale puternice.

De exemplu, dacă un hacker a vrut să încerce 500 de parole diferite pe site-ul dvs. în trecut, ar trebui să facă 500 de încercări distincte de conectare, pe care pluginul de blocare a autentificării le-ar prinde și bloca.

Un hacker, pe de altă parte, poate folosi sistemul cu XML-RPC. Folosind funcția de apeluri multiple, puteți încerca zeci de mii de parole diferite cu doar 20 sau 50 de solicitări. Ca rezultat, dacă nu utilizați XML-RPC, vă recomandăm să îl dezactivați. Puteți dezactiva XML-RPC utilizând un plugin sau manual.

16. Deconectați automat utilizatorii inactivi în WordPress

Utilizatorii care sunt conectați se pot îndepărta ocazional de ecranele lor, prezentând un risc de securitate. Cineva poate prelua controlul asupra sesiunii, își poate schimba parolele și își poate modifica contul.

Acesta este motivul pentru care multe site-uri bancare și financiare blochează automat utilizatorii inactivi. Funcționalități similare pot fi implementate și pe site-ul dvs. WordPress.

Pluginul Inactive Logout trebuie instalat și activat. Pentru a configura setările pluginului, faceți clic pe Setări » Deconectare inactivă după activare.

Setați cronometrul și un mesaj de deconectare și ați terminat. Nu uitați să salvați modificările făcând clic pe butonul Salvare modificări.

17. Adăugați întrebări de securitate la ecranul de conectare WordPress

Accesul neautorizat la zona de administrare WordPress poate fi împiedicat în mai multe moduri. Este mai dificil să găsești un echilibru între securitate și experiența utilizatorului dacă rulezi un site multi-utilizator sau de membru WordPress.

Includerea întrebărilor de securitate pe ecranul de conectare poate fi benefică. Utilizatorii dvs. vor fi rugați să răspundă la una sau mai multe întrebări la care alți utilizatori nu ar trebui să cunoască răspunsurile înainte de a se putea conecta la site-ul dvs. WordPress. Autentificarea cu doi factori sau 2FA este o alternativă. Această alternativă este mai sigură, dar durează puțin mai mult pentru a fi configurată.

18. Scanarea WordPress pentru malware și vulnerabilități

Dacă aveți instalat un plugin de securitate WordPress, acesta va scana în mod regulat pentru malware și dovezi ale unor încălcări de securitate.

Dacă observați o scădere semnificativă a traficului site-ului web sau a clasamentelor de căutare, ar trebui să executați manual o scanare. Puteți utiliza unul dintre aceste scanere de malware și securitate sau pluginul dvs. de securitate WordPress.

Este simplu să utilizați aceste scanări online; pur și simplu introduceți adresele URL ale site-ului dvs., iar crawlerele acestora vor căuta pe site-ul dvs. malware cunoscut și cod dăunător.

Amintiți-vă că majoritatea scanerelor de securitate WordPress vă pot scana doar site-ul web. Ei nu vor putea să scape de infecție sau să curețe un site WordPress piratat.

Iată cele mai importante nume ale scanerelor de securitate WordPress pentru detectarea programelor malware și a hackurilor:

1. Sucuri SiteCheck

2. Scaner de securitate IsItWP

3. Navigare sigură Google

4. WPSec

5. ScanWP

6. Scanare de securitate WordPress

7. WPrecon

8. Quttera

9. Web Inspector

10. WordPress Vulnerability Scanner

11. UpGuard Cloud Scanner

12. URLquery URL Scanner

13. VirusTotal

14. Norton Safe Web

19. Remedierea unui site WordPress piratat

Mulți utilizatori WordPress nu sunt conștienți de necesitatea backup-urilor și a securității site-ului web până când nu este prea târziu.

Curățarea unui site WordPress poate fi consumatoare de timp și provocatoare. Primul nostru sfat este să delegați sarcina unui expert.

Ușile din spate sunt instalate de hackeri pe site-urile deturnate și, dacă aceste uși din spate nu sunt eliminate corect, site-ul dvs. web va fi, cel mai probabil, să fie spart din nou.

Permiterea unei firme de securitate calificată să repare site-ul dvs. vă asigură că este sigur de utilizat încă o dată. De asemenea, vă va proteja de amenințările viitoare.

20. Actualizați-vă temele și pluginurile

Pluginurile și temele sunt în aceeași barcă. Tema dvs. existentă, precum și orice pluginuri pe care le-ați instalat pe site-ul dvs., trebuie să fie actualizate. Acest lucru vă protejează de defecte de securitate, bug-uri și potențiale încălcări de securitate.

Din când în când, la fel ca în cazul majorității produselor software, anumite plugin-uri pot fi piratate sau pot avea defecte de securitate dezvăluite în ele. În trecut, pluginuri precum Ninja Forms și WooCommerce, de exemplu, au fost afectate de probleme serioase.

Deci, cum vă mențineți temele și pluginurile la zi?

Mai întâi, să ne uităm la pluginuri. Navigați la Plugin-uri / Plugin-uri instalate pentru a vedea o listă cu toate pluginurile dvs. WordPress vă va anunța dacă un plugin nu este actualizat la cea mai nouă versiune:

Pentru a vă actualiza tema, accesați Aspect / Teme, unde veți vedea o listă cu toate temele pe care le-ați instalat. Cele care nu mai sunt utilizate vor fi identificate în același mod în care au fost plugin-urile. Pur și simplu selectați „Actualizați acum” din meniul derulant.

21. Limitați accesul utilizatorilor la site-ul dvs

Dacă nu sunteți singura persoană care are acces la site-ul dvs. web, aveți grijă când adăugați noi utilizatori. Ar trebui să țineți totul sub control și să vă străduiți să interziceți orice formă de acces utilizatorilor care nu au nevoie.

Puteți limita funcțiile și permisiunile utilizatorilor dvs. dacă aveți un număr mare de acestea. Ar trebui să aibă acces numai la funcțiile necesare pentru a-și îndeplini sarcinile.

Forțarea parolelor puternice vă poate ajuta și cu această problemă. WordPress sugerează o parolă sigură în mod implicit, dar nu vă va forța să o schimbați dacă alegeți una slabă. Acest plugin nu vă va permite să continuați decât dacă parola dvs. este suficient de puternică.

Aceasta ar putea fi o soluție bună pentru toți cei care intră în administratorul tău. În esență, este singurul tău mod de a te asigura că aceștia folosesc parole puternice în același mod în care o faci tu.

22. Protejați-vă wp-config.php

Fișierul wp-config.php este unul dintre cele mai importante și, prin urmare, susceptibile fișiere ale site-ului dvs. Stochează informații și date vitale despre instalarea dvs. WordPress în ansamblu. Este baza site-ului dvs. WordPress. Nu vei putea să-ți folosești blogul în mod normal dacă i se întâmplă ceva oribil.

Un lucru simplu pe care îl puteți face este să mutați fișierul wp-config.php cu un director deasupra directorului rădăcină WordPress. Această modificare nu va avea niciun efect asupra site-ului dvs. WordPress, dar hackerii nu o vor mai putea găsi.

23. Schimbați-vă în mod regulat parolele

Permiterea unor încercări nelimitate de nume de utilizator și parolă în formularul de autentificare este exact ceea ce ajută un hacker să reușească. Permiterea acestora să încerce de un număr nesfârșit de ori va duce în cele din urmă la descoperirea informațiilor dvs. de conectare. Pentru a evita acest lucru, trebuie mai întâi să limitați numărul de încercări disponibile. Permiterea unor încercări nelimitate de nume de utilizator și parolă în formularul de autentificare este exact ceea ce ajută un hacker să reușească. Permiterea acestora să încerce de un număr nesfârșit de ori va duce în cele din urmă la descoperirea informațiilor dvs. de conectare. Pentru a evita acest lucru, trebuie mai întâi să limitați numărul de încercări disponibile.

Anumite plugin-uri specializate pot fi folosite pentru a limita numărul posibilelor încercări de conectare.

În plus, schimbarea frecventă a parolelor reduce probabilitatea ca un hacker să pătrundă în site-ul tău. Nu mă refer la „în fiecare zi” când spunem „frecvent”... O dată la 2-3 luni ar trebui să fie suficient. Pentru cei care încearcă să pătrundă, diversitatea strică distracția.

Cum poate ajuta VOCSO?

Cu noile tehnologii care apar în fiecare zi, este dificil să ții pasul cu cele mai recente schimbări și îmbunătățiri. Suntem o companie lider în dezvoltarea de site-uri WordPress, care se străduiește să ofere clienților noștri cele mai bune produse și servicii. Pe lângă dezvoltarea de site-uri web securizate cu programare de înaltă calitate, oferim clienților noștri și alte servicii, cum ar fi managementul site-ului web, reproiectarea site-ului web, dezvoltarea de aplicații web personalizate, dezvoltarea de aplicații mobile, optimizarea motoarelor de căutare și soluții complete de marketing digital.

Concluzie

După cum puteți vedea, există o varietate de tehnici pentru a îmbunătăți securitatea instalării dvs. WordPress. Folosirea parolelor inteligente, actualizarea nucleului și a pluginurilor și alegerea unui server WordPress gestionat securizat sunt doar câteva modalități de a vă păstra site-ul WordPress în siguranță. Pentru mulți dintre voi, site-ul dvs. WordPress servește atât ca companie, cât și ca sursă de bani, prin urmare trebuie să vă faceți timp pentru a adopta cât mai repede unele dintre cele mai bune practici de securitate enumerate mai sus.

Securizarea unui site WordPress este un proces continuu. Deoarece atacurile cibernetice evoluează constant, trebuie să le reevaluați în mod regulat. Riscul va exista întotdeauna, dar îl puteți atenua folosind funcțiile de securitate WordPress.

Sperăm că această postare v-a oferit o mai bună înțelegere a importanței măsurilor de securitate WordPress și a modului în care le puneți în aplicare.

Dacă doriți mai multă claritate , VOCSO vă poate ajuta să puneți în aplicare acest ghid de securitate al site-ului !