Chiar si incepatorii pot, si ar trebui sa parcurga acesti pasi pentru a-si proteja site-urile WordPress impotriva atacurilor cibernetice. deoarece WordPress-ul este folosit la peste 30% din site-urile de pe internet si pentru ca este cel mai rapid sistem de gestionare a continutului (CMS) din lume si nu este greu de observat de ce. Cu foarte multe personalizari disponibile prin codare si/sau pluginuri, optimizari SEO de top si o reputatie suprema pentru blogging, WordPress si-a castigat meritat popularitate.

Cu toate acestea, cu aceasta popularitate in crestere vine si o atentionare. WordPress este o tintă comuna pentru hackeri, malware si atacuri cibernetice, fapt care face ca WordPress-ul sa reprezinte aproximativ 90% din platformele (CMS-urile) exploatate in 2019.

Indiferent daca sunteti un utilizator incepator in WordPress sau un dezvoltator cu experienta, puteti lua niste masuri extrem de importante pentru a proteja site-ul dvs WordPress. Urmatoarele 6 sfaturi pentru a securiza site-ul dvs. sigur vor ajuta enorm.

1. Alegerea unei gazduiri de incredere

Gazduirea sta la baza tuturor site-urilor web si fara de care nu puteti publica site-ul dvs. online. Dar gazduirea face mult mai mult decat sa va gazduieasca site-ul. De asemenea este responsabil pentru viteza de incarcare sau pentru performanata si securitatea site-ului.

Prima verificare ar fi cercerati daca gazduitorul include securitate SSL (certificate SSL) in oferta sa.

Certificatul SSL este o caracteristica esentala de securitate pentru toate site-urile web, indiferent daca detineti un blog mic sau un magazin online de mari dimensiuni. Daca acceptati plati online, aveti nevoie de un certificat SSL mai avansat, dar pentru majoritatea site-urilor certificatul SSL gratuit sau unul standard este suficient.

Alte caracteristici de securitate care trebuie luate in considerare sunt:

Backup-uri externe si cat mai frecvente
Antivirus pentru scanare si eliminare malware
Protectia importriva atacurilor distribuite de refus a serviciului (DDoS)
Monitorizarea retelei in timp real
Protectie avansata firewall

Pe langa aceste caracteristici digitale de securitate, merita sa va ganditi si la masurile de securitate fizica ale furnizorului dvs. de hosting. Acestea includ limitarea accesului la datacenter cu agenti de paza, CCTV (supraveghere video) si autentificare cu doi factori sau biometrica.

2. Folosirea de plugin-uri de securitate

Una dintre cele mai bune si mai simple modalitati de protejare a securitatii site-ului dvs. web este sa instalati un plugin de securitate, cum ar fi Sucuri, care este un proiect licentiat GPLv2 open source. Plugin-urile de securitate au o importanta vitala deoarece automatizeaza securitatea, ceea ce inseamna ca va puteti concentra pe optimizarea rularii site-ului dvs., in loc sa dedicati tot timpul pentru a combate amenintarile online.

Aceste plugin-uri detecteaza si blocheaza atacurile malitioase si va avertizeaza cu privire la anumite probleme care necesita atentie sporita. Pe scurt, acestea plugin lucreaza constant in spate pentru a proteja site-ul, ceea ce inseamna ca nu trebuie sa ramaneti treaz 24/7 pentru a lupta impotriva hackerilor, bug-urilor sau a altor vulnerabilitati.

Un plugin bun de securitate va oferi toate caracteristicile esentiale de securitate de care aveti nevoie gratuit, dar si unele functii avansate care necesita un abonament platit. De exemplu, va trebui sa platiti daca doriti sa dezactivati firewall-ul site-ului Sucuri. Activarea unui firewall pentru aplicatii web (WAF) blocheaza amenintarile comune si adauga un strat suplimentar de securitate site-ului dvs., asa ca este o idee buna sa cautati aceasta caracteristica atunci cand alegeti un plugin de securitate.

3. Alegerea de plugin-uri si theme de incredere

Proiectul WordPress este unul deschis (open source), astfel incat oricine poate aduce theme si pluginuri pe care le-au dezvoltat. Acest lucru poate pune probleme atunci cand vine vorba de alegerea unei theme sau unui plugin de inalta calitate.

E necesar sa fiti prudent atunci cand alegeti o thema sau un plugin gratuit, deoarece unele sunt slab concepute sau mai rau, pot ascunde codul rau intentionat (malware).

Pentru a evita acest lucru, intotdeauna ca sursa de teme gratuite si/sau plugin-uri sa fie din surse acreditate, cum ar fi biblioteca WordPress. Cititi intotdeauna recenzii si “verificati” dezvoltatorul pentru a vedea daca au construit si alte extensii.

Themele si plugin-urile expirate sau slab concepute pot aduce pe site-ul dvs vulnerabilitati sau asa zise “backdoors” pentru ca atacatorii sa poata accesa site-ul. Din acest motiv trebuie sa acordati o atentie sporita alegerilor dvs. Ar trebui sa va interesati si de themele anulate sau care sunt hackuite. Acestea sunt theme premium care au fost compromise de hackeri si sunt de vanzare in mod ilegal astfel s-ar putea sa cumparati o thema anulata, considerand ca este totul rezolvat din punct de vedere al sigurantei doar ca ulteror site-ul dvs. sa fie deteriorat de codul malware.

Pentru a evita temele anulate, nu va lasati atras de preturi mult reduse si alegeti intotdeauna dezvoltatorii cunoscuti si cu reputatie buna, cum ar fi magazinul oficial WordPress. Daca efectuati cautarea acestora in alte surse, ramaneti la magazine mari si de incredere, cum ar fi Themify, un magazin de theme si pluginuri care functioneaza inca din 2010. Themify se asigura ca toate themele sale WordPress trec testul Google Mobile-Friendly si ca sunt open source sub Licenta publica generala (GNU).

4. Efectuati actualizari ale plugin-urilor si themelor periodice

Aceasta este o regula fundamentala pentru WordPress adica updatarea site-ul la zi. Cu toate acestea, este o regula pe care nu o poate respecta toata lumea, de fapt doar 43% dintre site-urile WordPress ruleaza cea mai recenta versiune.

Problema este ca atunci cand site-ul dvs. “ramane in urma” cu actualizariile acesta devine susceptibil la vulnerabilitati, bug-uri si accesari ilicite, deoarece ii lipsesc ultimele versiuni in ceea ce priveste proceduriile de securitate si performanta. Aceste site-uri nu pot remedia erorile la fel cum o pot face site-urile actualizate, iar atacatorii pot gasi cu usurinta site-urile neactualizate. Aceasta inseamna ca pot cauta cu precadere cele mai vulnerabile site-uri pentru a putea ataca in consecinta.

Acesta fiind motivul pentru care ar trebui sa rulati intotdeauna site-ul dvs. pe cea mai recenta versiune a WordPress. Astfel pentru a mentine securitatea la cel mai inalt nivel, trebuie sa actualizati de indata ce acestea sunt disponibile, toate pluginurile si themele, precum si software-ul principal WordPress.

De asemenea puteti instala un manager de pluginuri open source, precum Easy Updates Manager licentiat GPLv2.

5. Securizarea autentificarilor

In afara de crearea unui site WordPress securizat, alegerea cu atentie a themei si instalarea de plugin-uri de securitate, trebuie sa va protejati si impotriva accesului neautorizat la logare.

Protectie cu parola

Primul si cel mai simplu mod de a va consolida securitatea de conectare este sa schimbati parola mai ales daca utilizati o fraza usor de ghicit, cum ar fi “123456” sau “qwerty”.

In schimb, incercati sa utilizati o parola lunga, deoarece acestea sunt mai greu de “spart”. Cel mai bun mod este sa folositi o serie de cuvinte (sau litere, cifre si caractere speciale) care nu au legatura intre ele dar, care va fac sens dvs si le gasiti usor de retinut.

In continuare va prezentam cateva sfaturi:

Nu reutilizati niciodata parole setate anterior
Nu includeti cuvinte evidente, cum ar fi numele membrilor familiei sau a echipei dvs. preferate de fotbal
Nu impartasiti niciodata detaliile de conectare cu nimeni
Includeti majuscule si numere pentru a adauga complexitate parolei
Nu scrieti si nu stocati datele de conectare nicaieri
Utilizati un manager de parole

Schimbati adresa (URL) de conectare la admin

O idee buna este sa schimbati adresa web de conectare din formatul standard: domeniul.ro/wp-admin. Acest lucru se datoreaza faptului ca hackerii stiu ca aceasta este adresa URL implicita, asa ca riscati atacuri de tip brute force daca nu o schimbati.

Pentru a evita acest lucru, schimbati adresa URL cu alta. Utilizati un plugin open source, cum ar fi WPS Hide Hide Login licentiat de GPLv2, pentru o personalizare sigura, rapida si usoara.

Aplicati autentificarea cu doi factori (two-factor authentication)

Pentru o protectie suplimentara impotriva autentificarilor neautorizate si atacurilor de forta bruta, ar trebui sa adaugati autentificarea cu doi factori. Aceasta inseamna ca, daca cineva are acces la detaliile dvs. de conectare, va avea nevoie de un cod care este trimis direct pe telefon pentru a continua cu accesul la administratorul site-ului dvs. WordPress.

Adaugarea autentificarii cu doi factori este destul de usoara. Pur si simplu instalati inca un plugin, de aceasta data cautati in libraria de pluginuri WordPress “two-factor authentication” si selectati pluginul pe care il doriti. O optiune este Two Factor, un plugin destul de cunoscut, sub licenta GPLv2 si care are peste 10.000 de instalari active.

Limitarea incercarilor de conectare

WordPress-ul este destul de permisiv si va permite sa incercati detaliile de conectare ori de cate ori doriti. Totusi, de acest aspect pot profita su hackerii care incearca sa obtina acces neautorizat pe site-ul dvs. WordPress pentru a insera cod malware.

Pentru a combate atacurile de brute force puteti sa instalati un plugin care limiteaza incercarile de conectare si va permite sa setati cate incercari se pot efectua.

6. Dezactivarea editarii fisierelor

Acesta nu este un pas destinat incepatoriilor, asa ca nu e indicat daca sunteti sunteti la inceput si nu aveti un dezvoltator programator priceput si intotdeauna e recomandat sa efectuati o copie de siguranta (backup), inainte de orice modificare in site.

Acestea fiind spuse, dezactivarea editarii fisierelor este o masura foarte importanta daca luati intr-adevar in serios protectia site-ului dvs. WordPress. Daca nu ascundeti fisierele site-ului, inseamna ca oricine ar putea modifica codul sursa a themelor si/sau a pluginurilor direct din zona de administrare, ceea ce este foarte periculos daca un intrus reuseste sa intre.

Pentru a refuza accesul neautorizat, accesati fisierul wp-config.php si introduceti:

order allow,deny deny from all

Alternativ pentru a elimina complet optiunile de editare pentru theme si pluginului din zona de administrare WordPress, editati fisierul wp-config.php adaugand:

define( 'DISALLOW_FILE_EDIT', true );

Dupa ce ati salvat si reincarcat fisierul, vor disparea complet butoanele de editare pentru pluginuri si theme din meniul din zona de administrare WordPress, oprind pe oricine incearca sa editeze thema sau codul pluginului, inclusiv pe dvs. In cazul in care aveti nevoie sa restabiliti accesul la codul themei si al pluginului, trebuie doar sa stergeti codul sursa adaugat mai devreme in fisierul dvs. wp-config.php atunci cand ati dezactivat editarea.

Indiferent daca blocati accesul neautorizat sau dezactivati complet editarea fisierului, este foarte important sa luati masuri pentru a proteja codul sursa al site-ului. In caz contrar, este usor pentru vizitatorii nedoriti sa editeze fisierele si/sau chiar sa adauge cod nou. Aceasta inseamna ca un atacator ar putea folosi editorul pentru a aduna date de pe site-ul dvs. WordPress sau chiar sa utilizeze site-ul dvs. pentru a lansa atacuri asupra altora.

Pentru o modalitate ceva mai usoara de a va ascunde fisierele, puteti utiliza un plugin care va efectua aceasta securizare pentru dvs., cum ar fi Sucuri.

Concluzie

WordPress-ul este o platforma open source foarte bine dezvoltata care ar e folosita atat de incepatori cat si de dezvoltatori si in care nu ar trebui sa existe o teama de a deveni victima a unui atac. Din pacate, aceste amenintari nu vor disparea prea curand, astfel ca este vital sa ramaneti foarte bine informat in domeniul securitatii site-ului dvs.

Folosind masurile prezentate mai sus, puteti adauga un nivel suplimentar de protectie, mai puternic si mai sigur pentru site-ul dvs. WordPress ceea ce ulterior va asigura o experienta mult mai placuta cu privire la folosirea CMS-ului.

Pentru ca site-ul dvs. sa ramana in permanenta securizat este un angajament continuu, si nu doar un verificare singulara, astfel ca trebuie sa va asigurati ca revizuiti in mod regulat toti acesti pasi si ca ramaneti in permanenta in alerta atunci cand construiti si utilizati CMS-ul sau adaugati plugin-uri noi.