Cum se efectuează un audit de securitate WordPress

Publicat: 2021-11-08

Securizarea site-ului dvs. WordPress nu este o afacere una și gata. Indiferent cât de mult ai încredere în pluginul tău de securitate sau cât de minuțios ai fost cu consolidarea site-ului web, un site web sigur astăzi nu va fi un site sigur mâine. Pentru a ține hackerii la distanță, trebuie să efectuați în mod regulat audituri de securitate WordPress și să completați găurile de siguranță pe care le găsiți.

Tacticile de piratare a site-urilor web progresează mereu, iar odată cu ele sunt și măsurile preventive pentru a vă menține site-ul în siguranță. Gândește-te la asta ca la un ciclu. Cu cât un site web este mai sigur, cu atât mai creativi trebuie să fie pentru a intra în el, ceea ce înseamnă că site-ul tău trebuie să devină și mai sigur și așa mai departe.

Urmăriți-vă să efectuați un audit de securitate WordPress cel puțin o dată la trei luni. Fiecare lună este mai bună și fiecare săptămână (sau chiar zilnic, în funcție de cât de sensibil este site-ul tău) este cea mai bună. Și, desigur, dacă simțiți că este ceva în neregulă cu site-ul dvs., atunci efectuați imediat un audit de securitate. Oricare dintre următoarele ar trebui să ridice un steag roșu:

  • Site-ul dvs. este lent și lent dintr-o dată.
  • Există o scădere mare a traficului site-ului web fără un motiv aparent.
  • Există conturi noi, încercări de autentificare sau solicitări „am uitat parola”.
  • Link-uri noi pe care nu le-ați adăugat sunt pe site-ul dvs.

Următorii pași sunt obligatorii pentru a vă menține site-ul într-o formă optimă, din punct de vedere al siguranței. Cu o listă de verificare la îndemână, vă veți simplifica auditurile în loc să vă copleșiți.

O prezentare generală a auditului de securitate WordPress

La un moment dat sau altul, aproape fiecare site WordPress se va confrunta cu un fel de problemă de securitate. Unul comun este un plugin sau o temă care devine afectată de o vulnerabilitate, permițând hackerilor să intre direct pe site-ul dvs. Odată ce site-ul dvs. este piratat, se pot întâmpla o mulțime de lucruri:

  • Datele personale ale clienților furate
  • Reclame și conținut ilegal afișate
  • Traficul a fost deviat în altă parte
  • Date WordPress criptate, șterse sau vândute

Aceasta este mult mai mult decât o durere de cap sau un loc doborât pentru câteva ore. Hackerii vă pot păstra datele pentru răscumpărare. Informațiile de pe site-ul dvs. pot fi vândute pe Dark Web. Google poate lista neagră site-ul dvs. pentru a afișa spam pe paginile web. Clienții vă pot da în judecată în cazul în care informațiile cardului de credit le sunt furate. Alte site-uri web pot fi infectate odată ce hackerii au obținut acces la al tău.

Auditurile de securitate WordPress identifică aceste vulnerabilități, astfel încât să le puteți corecta imediat - înainte ca un hacker să-și găsească drumul. Vă veți asigura că măsurile de siguranță pe care le luați în prezent funcționează în continuare și, de asemenea, vă veți da seama unde vă aflați. nevoie de mai multa protectie.

Evaluați pluginul de securitate pe care îl utilizați

Pluginul dvs. de securitate WordPress este unul dintre cele mai importante instrumente pentru protejarea site-ului dvs. Asigurați-vă că pluginul dvs. de securitate încă funcționează în următoarele moduri:

  • Jurnal de activitate: acesta urmărește utilizatorii site-ului dvs., inclusiv cine s-au conectat și când, încercările eșuate de conectare și modificările site-ului.
  • Firewall: Acest lucru va bloca roboții, hackerii și adresele IP care încearcă să intre pe site-ul dvs.
  • Încercări de conectare: pluginurile de securitate de calitate vor impune parole puternice, vor necesita autentificare cu doi factori și vor limita încercările de conectare.
  • Protecție de conectare: Aceasta blochează atacurile cu forță brută, care este atunci când hackerii încearcă diferite combinații de nume de utilizator și parole pentru a se conecta.
  • Scanări și curățări de malware: ar trebui să ruleze zilnic, scanând în profunzime baza de date a site-ului dvs., fișierele și folderele pentru malware și ștergând tot ce găsește.
  • Alerte în timp real: pluginul ar trebui să vă anunțe imediat dacă se întâmplă ceva suspect cu site-ul dvs.

Nu aveți încă un plugin de securitate? Luați în considerare obținerea unuia pentru a fi pasul dumneavoastră preliminar în auditul de securitate WordPress. Am adunat cele mai bune 6 plugin-uri de securitate WordPress din care să alegeți.

Testați soluția de backup pentru site-ul dvs

Dacă ceva nu merge bine pe site-ul dvs., care este imposibil sau prea complex de remediat, a avea o copie de rezervă WordPress înseamnă că vă puteți restaura site-ul la starea anterioară dinainte de apariția problemei. Cu toate acestea, dacă backup-ul nu reușește, atunci nu aveți nimic de restaurat, ceea ce înseamnă că puteți rămâne blocat cu un site infectat sau care funcționează defectuos. În mod ideal, veți folosi o soluție de backup (fie că este una furnizată de gazda dvs. sau un plugin pe care îl utilizați) care vă permite să vă testați backup-urile, cum ar fi BlogVault. De asemenea, poate doriți să citiți articolul nostru cu cele mai bune 6 plugin-uri de backup WordPress.

Treceți peste configurația dvs. de administrator și FTP WordPress

Cu WordPress, puteți avea mai multe persoane să se conecteze pentru a lucra la diferite proiecte, dar asta nu înseamnă că fiecare persoană cu o autentificare ar trebui să aibă acces deplin la site-ul dvs. Și când vine vorba de clientul tău FTP, permiterea accesului mai multor persoane înseamnă că aceștia ar putea face modificări site-ului tău... ei bine, totul.

Când adăugați un utilizator nou în WordPress, îi atribuiți un rol (și îi puteți edita și profilul pentru a-și schimba rolul):

audit de securitate wordpress

Rolurile diferite au capacități diferite. De exemplu, un administrator poate accesa toate instrumentele de administrare ale site-ului (cum ar fi schimbarea temei sau instalarea unui plugin), dar un colaborator poate scrie și gestiona doar propriile postări. Iată o detaliere cuprinzătoare a diferitelor roluri și a capacităților acestora.

Pentru auditul dvs. de securitate WordPress, faceți următoarele:

  • Vedeți ce utilizatori WordPress au acces la nivel de administrator.
  • Decideți dacă toți acești utilizatori au nevoie de acel nivel de acces (și dacă alții care au acces limitat ar trebui să fie administratori).
  • Reduceți permisiunile și restricționați accesul prin actualizarea rolurilor de utilizator pentru acele persoane.
  • Dacă nu recunoașteți utilizatorii în tabloul de bord, ștergeți-i - ar putea fi conturi care au fost create de un hacker.
  • Sunt numele de utilizator pur și simplu „admin”? Acesta este un nume de utilizator prea obișnuit și unul pe care hackerii încearcă adesea să îl folosească pentru a vă accesa site-ul. Creați un nou cont de utilizator pentru persoana respectivă și ștergeți contul vechi.
  • Ștergeți conturile FTP pentru utilizatorii care nu au nevoie de un nivel atât de ridicat de acces.

În cele din urmă, dacă site-ul dvs. permite membri, doriți să vă asigurați că aceștia trebuie să creeze un cont atunci când se înregistrează și că rolul lor implicit nu permite accesul de administrator. Accesați Setări > General . Debifați caseta de lângă Oricine se poate înregistra . Apoi, selectați opțiunea corespunzătoare sub Rol implicit utilizator nou .

Asigurați-vă că WordPress este actualizat

Este posibil să rulați automat, dar încă merită să verificați dacă WordPress este actualizat la cea mai recentă versiune. Actualizările nu corectează doar găurile de securitate, ci, de asemenea, îmbunătățesc performanța și adaugă funcții. Accesați Tabloul de bord > Actualizări pentru a vedea dacă unul este gata.

audit de securitate wordpress

Curățați-vă pluginurile și temele

Pluginurile pot extinde capacitatea site-ului dvs., dar sunt și vulnerabile la atacuri, mai ales dacă nu sunt actualizate prea mult timp. Dezvoltatorii de încredere vor rămâne la curent cu vulnerabilitățile pluginului lor și vor lansa actualizări cu patch-uri. În timpul actualizării de securitate WordPress, mergeți la lista de pluginuri și faceți următoarele:

  • Dezactivați și dezinstalați orice plugin pe care nu le mai utilizați sau pe care nu le recunoașteți.
  • Actualizați toate pluginurile rămase care au actualizări pregătite.
  • Dacă utilizați un plugin care nu a primit actualizări de la dezvoltator, luați în considerare utilizarea altuia care are aceeași funcționalitate – un plugin care este învechit este prea vulnerabil la problemele de securitate.

Chiar dacă efectuați auditul de securitate WordPress o dată pe lună sau cam așa ceva, este o idee bună să vă verificați pluginurile mai regulat pentru a le actualiza după cum este necesar. De asemenea, eliminați orice teme pe care nu le utilizați în prezent sau de care nu vă așteptați să aveți nevoie. La fel ca în cazul pluginurilor, temele prezintă riscul unor vulnerabilități de securitate, așa că cel mai bine este să vă păstrați site-ul web cât mai dezordonat posibil.

Rămâi în siguranță acolo!

Nu încetați să lucrați la alte părți ale afacerii dvs. – să veniți cu produse sau servicii noi, să le comercializați, să le vindeți etc. Securitatea site-ului dvs. nu ar trebui să fie diferită. O mică problemă poate duce rapid la un hack care amenință afacerea dacă nu o prinzi la timp, dar fără să știi unde sunt zonele cu probleme, nu vei ști ce remedieri să implementezi.

Păstrarea site-ului dvs. în siguranță este un proces continuu, iar a avea o listă de verificare a auditului de securitate WordPress vă scutește de problemele de a încerca să vă amintiți ce să faceți în fiecare lună. În plus, cu cât poți automatiza mai mult cu un plugin de securitate, cu atât mai bine. Lista dvs. de verificare a auditului de securitate WordPress poate fi mult mai mică dacă majoritatea a ceea ce trebuie să faceți este să verificați dacă pluginul încă funcționează corect. Avem o prezentare aprofundată a recenziilor a două pluginuri de securitate de top, Sucuri și Wordfence.