Cum să vă protejați site-ul WordPress de hackeri

Publicat: 2021-12-30

Cum îmi protejez site-ul WordPress de hackeri? Dacă aceasta este o întrebare pe care o pui prea des, nu ești singur. Datorită popularității platformei WordPress, site-urile WordPress sunt întotdeauna expuse unui risc mai mare de atacuri și hack-uri. Din fericire, există modalități încercate și de încredere de a proteja site-urile WordPress de hackeri . Și nu, nu trebuie să fii un expert WordPress pentru a le aplica pe site-ul tău.

În acest articol, vă împărtășim 14 pași pe care îi puteți urma pentru a vă asigura site-ul WordPress împotriva hackerilor. Să începem.

Cum să protejați un site WordPress de hackeri?

Indiferent de dimensiunea sau domeniul site-ului dvs., niciun site nu este ferit de hackeri care caută mereu modalități de a-și răspândi rețeaua rău intenționată pe Internet. Fie că este vorba despre implementarea de scripturi automate pentru a „explora” cu crawlere site-ul dvs. WordPress și de a detecta eventualele vulnerabilități sau de a le folosi pentru a obține acces la contul dvs. WordPress, nicio parte a site-ului dvs. nu este ferită de hackeri.

Protecția WordPress împotriva hackerilor înseamnă în esență protejarea fiecărei părți a site-ului dvs. de malware, atacuri de forță brută și alte amenințări. Cele 14 măsuri de siguranță pe care urmează să le împărtășim oferă o bază solidă, astfel încât să puteți face exact asta:

1. Utilizați o gazdă web securizată

Un server și un mediu de găzduire securizate sunt un element critic pentru protejarea site-ului dvs. WordPress. Asigurați-vă că compania dvs. de găzduire acordă prioritate păstrării site-urilor găzduite în siguranță împotriva hackurilor prin servicii precum backup-uri regulate, protecție firewall și scanare malware.

Dacă sunteți găzduit în prezent pe o gazdă partajată, luați în considerare migrarea către o gazdă cloud sau o gazdă gestionată care oferă o asigurare mai puternică a unui mediu securizat.

2. Folosiți parole puternice

Parolele puternice sunt probabil cea mai ușoară măsură de a proteja WordPress de hackeri și de a opri atacurile cu forță brută. Evitați cu strictețe utilizarea parolelor precum „123456” sau „parolă” care sunt ușor de ghicit. În schimb, asigurați-vă că fiecare parolă are cel puțin 10-12 caractere și conține un amestec de alfabete, numere și caractere speciale.

Utilizați o parolă puternică

Dacă aveți mulți utilizatori, puteți utiliza instrumente de gestionare a parolelor precum 1Password sau LastPass pentru a genera și stoca automat parole mai puternice pentru fiecare utilizator.

3. Activați autentificarea cu doi factori (2FA)

În timp ce acreditările puternice de conectare sunt întotdeauna eficiente pentru a opri atacurile de forță brută, un strat suplimentar de protecție a paginii de autentificare este disponibil folosind autentificarea cu doi factori (sau 2FA). Această măsură asigură că, chiar dacă utilizatorii „răușitori” pot ghici acreditările corecte de conectare, ei trebuie, de asemenea, să introducă codul de verificare corect, care este trimis numai pe dispozitivul utilizatorului „autentic”.

Autentificare cu doi factori

Pentru a implementa 2FA, tot ce trebuie să faceți este să instalați și să activați un plugin 2FA precum Google Authenticator.

4. Limitați încercările de conectare

Pentru a avea succes la intrarea în cont, atacurile cu forță brută fac încercări repetate de a ghici acreditările corecte ale utilizatorului. În mod implicit, site-urile WordPress permit un număr nelimitat de încercări de conectare. Cu toate acestea, acest lucru nu ar trebui să vă împiedice să limitați numărul de încercări de conectare la 3 sau 4.

Limitați încercările de conectare

Tot ce aveți nevoie este să instalați instrumentul CAPTCHA care afișează ecranul CAPTCHA după mai multe încercări eșuate de conectare. Acest instrument este eficient și pentru a determina dacă un utilizator „uman” sau un „bot” încearcă să acceseze contul de conectare.

5. Schimbați numele de utilizator implicit „admin

Pentru o utilizare ușoară, WordPress atribuie inițial un administrator implicit pentru fiecare cont WordPress nou. Acest administrator este util în faza inițială pentru configurarea site-ului dvs. WordPress și crearea de utilizatori suplimentari. Cu toate acestea, utilizarea numelui de utilizator „admin” are o parte de probleme de securitate.

Pentru a îngreuna atacurile cu forță brută, schimbați acest nume de utilizator cu un nume de utilizator mai unic, greu de ghicit. Cel mai bun mod este să creați un nou administrator (cu un nume de utilizator mai puternic) și apoi să eliminați utilizatorul „admin” implicit.

6. Țineți-vă actualizate nucleul, pluginurile și temele

Majoritatea vulnerabilităților WordPress sunt rezultatul unei versiuni Core WordPress învechite sau al pluginurilor și temelor instalate. Hackerii caută în mod constant versiuni de software mai vechi, pe care le pot exploata în avantajul lor. Cea mai bună protecție împotriva hackerilor este să vă mențineți site-ul WordPress actualizat la cea mai recentă versiune.

Puteți aplica actualizări regulate din contul de găzduire WordPress – sau puteți activa actualizările automate. Există un avantaj suplimentar pentru a vă menține site-ul actualizat. Majoritatea actualizărilor de teme și pluginuri WordPress conțin îmbunătățiri de viteză și performanță care ar putea face site-ul dvs. WordPress mai rapid și mai fluid.

7. Faceți în mod regulat backup pentru site-ul dvs

Deși nu este strict o măsură de securitate care poate proteja WordPress de hacking , o strategie solidă de backup și restaurare vă permite să minimizați timpul de nefuncționare și pierderea de venituri. Dacă rulați un site de comerț electronic, o copie de rezervă vă asigură că nu vă expuneți riscului de nefuncționare sau de a pierde înregistrările clienților sau tranzacțiile.

Deși puteți face copii de rezervă manuale ale site-ului web ale fișierelor de bază ale site-ului și ale bazei de date, folosind un plugin de backup WordPress, cum ar fi BlogVault sau BackupBuddy, vă poate elibera timp, deoarece automatizează și programează întregul proces de backup. daca tu

8. Adăugați un certificat SSL

Când adăugați un certificat SSL pe site-ul dvs., migrați site-ul dvs. la protocolul HTTP Securizat (sau HTTPS) de la protocolul HTTP mai puțin favorizat. HTTPS criptează toate datele transmise între site-ul dvs. și utilizatorul dvs. pentru siguranța lor și a dumneavoastră.

HTTPS și SSL

Cum poți trece la HTTPS? Adăugați un certificat SSL, care poate fi obținut de la compania dvs. de găzduire web sau folosind un plugin SSL precum Let's Encrypt.

9. Dezactivați editarea fișierelor

Cu editorul de fișiere WordPress, hackerii pot obține controlul site-ului și pot executa cod PHP „dăunător” pe site. Aceasta poate fi o amenințare de securitate atunci când un cont de administrator este compromis. Cea mai bună soluție este să dezactivați editarea fișierelor adăugând următorul cod în fișierul wp-config.php al sistemului dvs. WordPress:

 define( 'DISALLOW_FILE_EDIT', true );

10. Restricționați accesul la site și rolurile de utilizator

Accesul nerestricționat la site-ul web pentru toți utilizatorii poate reprezenta un risc major pentru WordPress – în special pentru tabloul de bord al administratorului. Partea bună este că acum puteți restricționa accesul la paginile web selectate în funcție de rolurile utilizatorului. Pentru a face acest lucru, trebuie să instalați pluginul „Restrict Content Pro” și să configurați paginile în care doriți acces limitat pentru utilizatori.

11. Dezactivați Navigarea în director

Hackerii folosesc funcția de navigare în directorul WordPress pentru a găsi fișiere care ar putea avea vulnerabilități. În plus, această funcție poate fi folosită pentru a copia fișierele WordPress sau pentru a afla mai multe despre structura folderelor. Cea mai bună soluție este să dezactivați navigarea în directoare, astfel încât să nu poată fi folosită greșit de hackeri. Acest lucru se poate face adăugând următoarea linie de cod la sfârșitul fișierului .htaccess în folderul de instalare:

Opțiuni -Indici

12. Dezactivați execuția PHP.

La rândul lor, hackerii pot introduce cod malware și le pot executa folosind fișiere PHP. Puteți îmbunătăți securitatea site-ului dvs. WordPress dezactivând execuția fișierelor PHP. Pentru a dezactiva execuția PHP, deschideți fișierul .htaccess din folderul „încărcări” al instalării WordPress și adăugați următorul cod:

 <Files *.php> deny from all </Files>

13. Utilizați un plugin de securitate WordPress

În timp ce pașii descriși până acum fac o treabă excelentă pentru a vă proteja de amenințările cunoscute, poate fi dificil să țineți pasul cu hackeri și cu modalitățile lor inovatoare. Una dintre cele mai eficiente modalități de a vă proteja site-ul web de atacuri încă necunoscute sau rare, sau chiar de mai multe tipuri de malware, este să investiți într-un plugin WordPress dedicat pentru securitate.

Pluginurile de securitate WordPress precum MalCare și Wordfence pot detecta programe malware și mai puțin cunoscute și puteți programa și automatiza întregul proces de scanare a programelor malware. MalCare are chiar și un proces de eliminare a programelor malware cu un singur clic, astfel încât nu trebuie să vă bazați pe suport tehnic extern pentru a vă curăța site-ul.

Malcare

14. Activați un paravan de protecție WordPress

Dacă există o altă modalitate simplă de a proteja un site WordPress de hackeri, aceasta este să le îngreuneze accesul la site-ul tău. Firewall-urile acționează ca ultima linie de apărare împotriva solicitărilor IP „suspecte” făcute de hackeri. Acționează mai degrabă ca un agent de securitate care permite sau blochează oamenii să intre în casa sau biroul dvs.

Firewell

Firewall-urile țin evidența adreselor IP „bune” și „rele” și permit sau blochează automat solicitările făcute de la acestea.

Majoritatea pluginurilor de securitate precum MalCare și Sucuri au un firewall încorporat pentru a bloca tot traficul rău intenționat.

De ce ar trebui să vă protejați site-ul WordPress de hackeri?

A ști cum să protejezi un site WordPress de hackeri nu mai este ceva pe care îl poți amâna pentru mai târziu. Pur și simplu pentru că un hack afectează mai mult decât prezența dvs. pe web sau clasamentele dvs. SEO. Un malware de succes sau un atac de forță brută, chiar și pentru câteva ore, vă poate afecta serios veniturile și vă poate submina autoritatea mărcii.

În funcție de tipul de atac, un hack WordPress poate provoca unele sau toate cele de mai jos:

  • Denaturarea completă a paginii de pornire a site-ului dvs. cu reclame „pop-up” dăunătoare
  • Folosirea greșită a efortului dvs. de SEO care ar putea face ca site-ul dvs. să fie clasat pentru cuvintele cheie spam
  • Vizitatorii sunt redirecționați către alte site-uri web nesolicitate care vând produse false sau produse farmaceutice interzise
  • E-mailurile de tip spam sau „phishing” sunt trimise clienților dvs. folosind o adresă de e-mail comercială autentică
  • Încălcări ale datelor care au ca rezultat pierderea înregistrărilor valoroase ale clienților, a detaliilor tranzacțiilor financiare și a altor date sensibile

Sperăm că acest articol vă va ajuta cu sfaturi și strategii, astfel încât să știți exact cum să protejați un site WordPress de malware și hack-uri.

Ce părere aveți despre cele 14 măsuri de securitate despre care am discutat? Există unele pe care le-ai adăuga la această listă? Spune-ne în comentarii.

Saasland