Securitatea unui site WordPress (sfaturi si recomandari).

Securitatea unui site WordPress este un subiect de mare importanta pentru orice administrator de pagina web .In fiecare saptamana Google blocheaza 20 000 de site-rui cu virusi .Daca luati in serios site-ul dvs , trebuie sa acordati atentie securitatii WordPress.In acest ghid sunt enumerate cele mai utile sfaturi si metode de protectie a unuei pagini  WordPress.

 

In timp ce nucleul WordPress este foarte sigur , fiind examinat in mod regulat de sute de dezvoltatori, sunt sute de alte posibile probleme ale unui site WordPress.

Noi consideram ca este importanta nu doar eliminarea riscurilor ,ci si reducerea lor, existand o multitudine de modalitati de ameliorare a securitatii unui site.
In acest ghid vom arunca o privire la  :

Bazele securitatii WordPress:

Securitate WordPress in cativa pasi simpli:

De ce este importanta securitatea unei pagini de internet ?

Un site WordPress hack-uit poate aduce daune serioase reputatiei si venitului unui business.Hackerii pot fura informatiile utilizatorilor,parolele, de asemenea pot instala programe daunatoare .In cel mai rau caz va puteti gasi in situatia in care vi se cere o recompense pentru a recapata controlul asupra site-ului.

Mentinerea la zi a WordPress.

WordPress este un program gratuit ce primeste regulat imbunatatiri ,fiind preconfigurat sa instaleze automat punerile la zi minore, in timp cele majore trebuie initiate manual.

WordPress de asemena are sute de plugin-uri si teme ce pot fi adaugate la site. Aceste teme si plugin-uri sunt mentiune la zi de o parte terta de dezvoltatori.

Aceste puneri la zi WordPress au un rol crucial pentru securitatea si stabilitatea site-ului dumneavoastra. Trebuie sa va asigurati ca nucleul WordPress, plugin-urile si temele sunt la zi.

O parola puternica si permisiunile utilizatorilor.

Cea mai comuna metoda de spargere a unui site WordPress este furtul de parole. Puteti ingreuna acest proces utilizand o parola puternica si unica pentru website-ul dumneavoastra. Nu doar pentru WordPress ci si pentru zona administrativa, conturile FTP, baza de date, contul de gazduire WordPress si adresa dumneavoastra de e-mail.

Principala cauza , de ce incepatorii nu folosesc parole puternice este pentru ca ele sunt greu de tinut minte.Partea buna este cu nu mai aveti nevoie sa tineti minte parole .Puteti utilize un administrator de parole.

Rolul gazduirii WordPress.

Serviciul de gazduire  WordPress joaca cel mai important rol pentru securitatea site-ului dumneavoastra WordPress.Un bun serviciu de gazuire ca ( referral, + exemple de hosturi) asigura masuri suplimentare de protectie a serverelor impotriva amenintarilor comune.

Oricum , in cazul unei gazduiri partajate , dumneavoastra dispuneti de aceleasi resurse de server ca si celelalte persone. Acest fapt implica riscul ca site-ul sa fie supus unui atac cibernitic prin intermediul unui site vulnerabil din cele cu care impartiti serviciul de gazduire.

Utilizarea unei gazduiri administrate, va ofera o platforma mai sigura pentru web siteul dumneavoastra. Companiile de gazuire administrata ofera automat copii de rezerva pentru site-ul dvs. , automatizarea procesului de punere la zi a WordPress si multe alte configuratii avansate de securitate pentru a proteja pagina dvs web.

Noi va recomandam WPEngine(referral) ca serviciu de gazduire administrata .Ei fiind cei mai populari in aceasta industrie.

 

Securitate WordPress in cativa pasi simpli ( fara programare).

Noi stim ca ameliorarea securitatii WordPress poate fi un proces dificil pentru incepatori.

In cele ce urmeaza vom prezenta cum puteti imbunatati situatia securitatii site-ului dvs cu doar cateva click-uri.

Instalarea unei copii de rezerva WordPress.

Copiile de rezerva sunt prima linie de aparare impotriva oricarui atac WordPress.Notabil, nimic nu este 100% sigur. Daca site-urile guvernamentale pot fi hack-uite , atunci si al dvs la fel.

Copiile de rezerva va permit sa restabiliti site-ul dvs WordPress indiferent de cat de tare a fost afectat in urma unui atac.

Exista multe plugin-uri (unele gratis,altele nu) ce permit efectaurea copiilor de rezerva WordPress.Cel mai important lucru pe care trebuie sa-l cunoasteti despre copiile de rezerva este ca trebuie efectuate sub forma completa si salvate la o locatie diferita de contul de gazduire web.

Recomandam sa stocati copiile de rezerva in cloud prin intermediul servicilor ca Amazon, Dropbax sau servicii cloud private ca Stash.

In baza frecventii cu care puneti la zi site-ul ,este ideal sa creati o copie de rezerva odata pe zi sau sa folositi servicii de efectuarea a copiilor in timp real.

Cele mai bune pluginuri WordPress de securitate 

Dupa copiile de rezerva , urmatorul lucru de care aveti nevoie este elaborarea unui system de monitorizare si audiere care au grija de procesele ce au loc pe site.

Aceasta include monitorizarea intregritatii fisierelor, incercarile esuate de logare,scanare de virusi.

Din fericire, toate aceste aspect sunt acoperite de cel mai bun plugin gratuit de securitate WordPress, numit Sucuri Scanner. (refereal)

Pentru activare , puteti accesa meniul Scurui in panoul de administrare a siteului dvs wordpress.

//SCREENSHOT//

Primul lucru pe care vi se cere sa-l faceti sete sa generate o cheie API gratuita.Aceasta permite audiere logarilor, verificare integritatii fisierelor,alerte email si alte caracteristici importante.

Urmatorul lucru pe care trebuie sa-l faceti este sa apasati pe optiunea Hardening din meniul Sucuri.Apasand pe butonul “Harden” la fiecare optiune.

//SCREENSHOT//

 

Aceste optiuni ajuta la blocarea unur sectiuni cheie care sunt desori folosite de hacker in atacurile lor.Singura optiune de tip “hardening” care necesita achizitia pluginului este Web Application Firewall (va fi explicate in urmatorii pasi,insa pentru moment va fi neglijata)

Mai mult despre aceste optiuni “Hardening” se va vorbi in cele ce urmeaza pentru cei care doresc sa faca aceasata fara un plugin sau pentru cei ce au nevoie de masuri suplimentare ca “Database Prefix change” sau “Changing the Admin Username”.

Dupa partea de “hardening”, mare majoritate a setarilor nu necesita schimbari.Singurul lucru pe care va recomandam sa-l personalizati sunt “Email Alerts”.

Setarea de baza a alertelor  va fi adresa dvs de email.Noi recomandam sa primiti alerte pentru actiuni cheie ca schimbarea pluginurilor, inregistrarea noilor utilizatiri etc. Puteti configure alertele accesand meniul Sucuri , la sectiunea Settings > Alerts.

Acest plugin de securitate WordPress este unul puternic , naviagati prin sectiunile si setarile pluginului pentru ai examina cpacitatile ca Malware scanning, Audit logs, failed Login Attemp tracking etc.

Activarea Web Application Firewall (WAF).

Cea mai usoara modalitate de a proteja site-ul dvs web si de a avea incredere in securitatea WordPress este de a utilize un paravan protective web – web application firewall(WAF).Paravanul de protective bloceaza tot traficul daunator inainte ca acesta sa ajunga la pagina dvs web.

Noi va recomanda Sucuri ca cel mai bun paravan web de protective pentru WordPress.

Cea mai buna parte despre paravanul Sucuri este ca vine integrat cu malware cleanup and blacklist removal guarantee.

Este o garantie destul de puternica deoarece , repararea unui site spart este scumpa.Expertii in securitate in mod normal isi ofera serviciile la 250$ pe ora.In timp ce tot completul de securitate Sucuri o face doar pentru 199$ pe an.

Sucuri nu este singurul aravan de protective disponibil , de asemena sunt alti competitor populari ca Cloudflare.

Securitatea WordPress pentru utilizatorii DIY.

Daca ati realizat tot despre ce am mentionat pana aici, sunteti intr-o stare destul de buna.

Dar ca de obicei???? , sunt mai multe lucruri pe care puteti sa le faceti in vederea ameliorarii securitatii WordPress.

Insa unii pasi necesita cunostine in programare.

Schimbarea numelui implicit de utilizator “admin”.

Cu ceva timp in urma , numele implicit de administrator a fost “admin”.Din moment ce numele de utilizator reprezinta jumatate din informatille necesare pentru accesarea panoului de administrare a siteului ,numele implicit de utilizator face atacurile de tip brute-force mult mai usoare hacker.

Din fericire WordPress s-a schimbat mult iar acum puteti utilize un alt nume de utilizator pentru caontul de administrator al siteului WordPress.Acesta poate fi selectat in timpul instalarii WordPress.

Oricum, unele programe ce intsaleaza WordPress-ul in doar un click , seteaza numele de utilizator al administratorului ca “admin”.Daca acesta este cazul, atunci probabil ar fi o buna idee sa schimbati serviciul de gazduire web.

Din moment ce WordPress nu permite modificarea numeelor de utilizatori, exista alte trei metode ce pot facilita acest lucru.

1.Crearea unui nou cont cu privilegii de administrator si stergerea celui vechi.

2.Utilizarea unui plugin pentru a modifica numele de utilizator al contului de administrator.(pluginul “ Username Changer”).

3.Modificarea numelui de utilizator din phpMyAdmin.

((Vorbim de schimbarea numelui de utilizator “admin”, nu de rolul de administrator.))

Dezactivarea permisiunii de editare a fisierelor.

WordPress vine cu un nucleu de editare integrat ce permite de adus modificari la teme si pluginuri direct in zona de administrare WordPress.In mainele gresite, aceasta caracteristica se poate transforma intr-un risc pentru securitatea paginii web, de aceea va recomanda sa dezactivati permisiunea de a edita fisiere.

//SCREENSHOT//

Puteti foarte simplu sa realizati acest lucru, adaugand secventa de cod mentionata mai jos in fisierul wp-config.php

// Dezactivarea permisiunii de aditare a fisierelor.

define( ‘DISALLOW_FILE_EDIT’, true );

 

Ca alternative , puteti face acest lucru cu doar un click folosind caracteristicile “Hardening” in meniul pluginului gratuit Sucuri ,despre care am mentionat mai sus.

Dezactivare executiei fisierelor PHP in anumite locatii WordPress.

O alta metoda de ameliorare a securitatii WordPress este dezactivarea executiei unui fisier PHP in anumite locatii unde nu este nevoi , spre exemplu : /wp-content/uploads/.

Puteti face acest lucru prin inserarea liniilor de cod mentionate mai jos intr-un editor de text ca Notepad.

<Files *.php>deny from all</Files>

In continuare trebuie sa salvati fisierul ca format .htaccess si sa-l incarcati la

/wp-content/uploads/ mapele unde siteul dvs foloseste client FTP.

In mod alternative , puteti realize aceiasi lucrare cu doar un click cu ajutorul caracteristici “Hardening” din meniul pluginului gratuity Sucuri, despre care am mentionat mai sus.

Limitarea numarului de incercari de autentificare.

Setarile implicite WordPress permit utilizatorilor sa incerce sa incerce se autentifice de cate ori doresc. Acest fapt reprezinta o vulnerabilitate a siteului la atacuri de tip brute-force.Hackerii pot afla parola incaercand sa se autentifice cu diferite combinatii de parola si nume de utilizator.

Aceasta vulnerabilitate poate fi usor remediat prin limitarea numarului de incercari esuate.Daca folositi paravanul de protective web ,mentionat mai dereme, atunci el va avea grija automat de acest lucru.

Insa daca nu aveti intstalat paravanul,urmati pasii enumerate mai jos.

In primul rand , trebuie sa instalati sis a activati pluginul Login LockDown.

In urma activarii visitati Settings > Login LockDown pentru a configure pluginul.

//SCREENSHOT//

Schimbarea prefixului datei de baze WordPress.

In mod implicit , WordPress foloseste wp_ ca prefix pentru baza de date WordPress.Daca pagina dvs WordPress foloseste prefixul implicit pentru baza de date ,hackerilor le va fi usor sa-l ghiceasca.De aceea noi recomandam sa-l schimbati.

NOTE: Acest lucru poate strica site-ul daca nu este realizat in mod adecvat.Procedati cu atentie si daor daca sunteti increzut in aptitudinile dvs de programare.

Protejarea cu parola a paginei de autentificare WordPress.

//SCREENSHOT//

In mod normal ,hackerii pot sa acceseze folderol dvs wp-admin fara nici-o restrictive.Acest fapt le permite sa-si utilizeze capacitatile pentru a prelua controlul sau sa lanseze atacuri de tip DDoS.

Note:Atacurile DDoS nu aduc daune siteluli insa il fac inaccesibil.

Puteti adauga o parola aditionala la server , ce va bloca intr-un mod efectiv incercarile de a accesa /wp-admin.

//SCREENSHOT//

Dezactivarea indexarii si navigarii prin locatii.

//SCREENSHOT//

Navigarea prin locatii poate fi folosita de hacker pentru a localiza fisiere cu vulnerabilitati cunoscute, deci pot profita de aceste fisiere pentru a castiga controlul la pagina dvs web.

Navigarea prin locatii poate fi de asemena utilizata de oameni pentru a privi in fisierele dvs, copia imagini, afla structura locatiilor si alte informatii.De aceea este recomandat sa dezactivati permisiunea indexarii si navigarii prin locatii.

Trebuie sa va conectati la websiteul dvs utilizand ftp sau managerul de fisiere cPanel.In continuare , trebuie sa localizati fisierul .htaccess in locatia root a paginei dvs web.

Dupa care trebuie sa adaugati la sfarsitul fisierului .htaccess urmataorea linie de cod:

Options –Indexes

Nu uitati sa salvati si sa incarcati inapoi pe site fisierul .htaccess.

Dezactivarea XML-RPC in WordPress.

XML-RPC este activat in mod implicit in WordPress 3.5 , deoarece ajuta conectarea siteului WordPress cu aplicatii web si mobile.

Oricum datoriata naturii sale puternice ,XML-RPC poate amplifica in mod simnificativ un atac de tip brute-force.

Spre exemplu , in mod traditional un hacker care ar dori sa incerce 500 de parole ar avea de efectuat 500 incercari separate de autentificare, care ar fib locate de pluginul LockDown.

Insa cu ajutorul XML-RPC, un hacker poate utilize functia system.multicall pentru a incerca sute de parole in doar 20 sau 50 incercari de autentificare.

Acesta este motivul pentru care ar trebui sa dezactivati XML-RPC, daca il folositi.

NOTE: cea mai buna metoda de dezactivare este prin modifiacrea  .htaccess.

Deconectare automanta a utilizatorilor WordPress inactivi.

Utilizatorii autentificati care nu sunt langa calculator pentru o anumita perioada de timp pot reprezenta un risc pentru securitate.Altcineva poate sa le schimbe parola sau sa aduca schimbari conrului.

Din acest motiv siturile financiare de autentifica utilizatorii inactivi.Puteti implementa o functionalitate similara la siteul dvs WordPress.

Va trebui sa instalati si sa activati plugin-ul “Idle User Logout”.Dupa activare, vizitati pagina Settings > Idle User Logout pentru a configure setarile plugin-ului.

//SCREENSHOT//

Pur si simplu setati durata de timp si debifati casuta de langa optiunea “ Disable in wp admin” pentru o mai buna securiatate.Nu uitati sa faceti click pe butonul de “Save Changes” pentru a solva schimbarile aduse setarilor.

Adaugarea intrebarilor de securitate la panoul de logare WordPress.

//SCREENSHOT//

Adaugarea unei intrebari de securitate la panoul dvs WordPress de logare ingreleaza procesul de  obtinere accesului neautorizat.

Puteti adauga o intrebare de securitate instaland plugin-ul “WP Security Questions”.Dupa activare , trebuie sa vizitati pagina Settings > Security Questions pentru a configure setarile plugin-ului.

Repararea unui site WordPress hackuit.

Multi utilizatori WordPress nu realizeaza importanta coppilor de rezerva si a securitatii web sitelui pana cand nu sunt hackuiti.

Curatirea unui site WordPress poate fi dificila si de lunga durata.Primul nostrum sfat este sa lasati un profesionist sa se ocupe.

Hackerii instaleaza ,,backdoors” pe site-ul afectat, iar daca aceste “backdoors” nu sunt reparate corect,atunci cel mai probabil site-ul dvs va fi hackuit din nou.

Permitand unei companii profesioniste de securitate ca Sucuri sa repare siteul va asigura faptul ca siteul este lipsit de riscuri pentru a fi folosit.Fiind protejat de viitoare posibile atacuri.

 

Aceasta este tot, speram ca acest articol va ajutat sa invatati cel mai eficiente practice pentru ameliorarea securitatii site-ului dvs.

 

Written by root

Leave a reply