Pluginuri de securitate WordPress – Ai nevoie de ele?

Având în vedere că Google oferă peste 22 de milioane de rezultate pentru „pluginuri de securitate WordPress” și peste 1.000 de pluginuri de securitate enumerate pe pagina oficială de pluginuri WordPress, nu se poate nega popularitatea lor. Dar adevărata întrebare este –chiar ai nevoie de unul pe site-ul tău pentru început?

În virtutea denumirii lor și a ceea ce li se anunță că pot face pentru site-ul dvs., unele soluții din acest spațiu se poziționează ca pluginuri obligatorii pentru a se asigura că WordPress funcționează în siguranță.Probabil, astfel încât să nu vă mai faceți griji cu privire la securitate.

Acest lucru este departe de realitate.

De fapt, utilizarea unui plugin de securitate WordPress prost construit poate de fapt încetini site-ul dvs. - adăugând funcționalități care ar trebui să se întâmple în mod realist la nivel de rețea înainte ca cererea să fie procesată de serverul dvs.

Așa că, fără alte prelungiri, haideți să ne aruncăm imediat.

Aveți nevoie de un plugin de securitate WordPress?

Fiecare site web este o țintă potențială pentru hackeri rău intenționați – unii sunt ținte mai mari decât alții. Acesta nu este un secret.

Publicația populară Fast Company a avut recent (la momentul scrierii acestui articol)sistemele încălcate de cineva care a trimis notificări jignitoare Apple News.

Oamenii care încearcă să obțină acces la site-uri cu intenții rău intenționate nu vizează neapărat afaceri mai mari. Întreprinderile mici și mijlocii ar putea reprezenta o țintă mai ușoară dacă își asumă acest lucru, luând probabil mai puține precauții ca urmare.

Dincolo de necazul de a face față situației, timpul pierdut și pierderea de venituri pe care site-ul dvs. le-ar fi putut genera în timp ce acesta a rămas inaccesibil, companiile au obligația legală de a proteja informațiile clienților. Această obligație vine cu riscul unei acțiuni de reglementare.

Este de la sine înțeles că nimeni nu vrea să fie victima unui atac. Dar având în vedere că ecosistemul global al site-urilor WordPress a fost evaluat în mod independent la aproximativ 635,5 miliarde de dolari (USD) – nu este surprinzător faptul că vânzarea promisiunii de securitate s-a dovedit a fi o bună oportunitate de afaceri.

Cum atacă hackerii site-urile WordPress

WordPress este open-source, astfel încât vulnerabilitățile care sunt descoperite în nucleul WordPress și orice teme sau pluginuri devin în cele din urmă de cunoștință publică. Din păcate, acest lucru se poate întâmpla înainte ca WordPress să poată emite un patch pentru vulnerabilitate, creând o fereastră de oportunitate pentru cei cu intenții rele. Actorii răi sunt bine conștienți de această oportunitate, permițându-le să înceapă să vizeze automat site-urile carear putearula tema sau pluginul vulnerabil – pentru a vedea ce este posibil.

Chiar și fără aceste vulnerabilități, este destul de obișnuit ca atât oamenii, cât și roboții să folosească atacuri de forță brută pentru a încerca să obțină acces la un site. Aceasta implică trimiterea în mod repetat a mai multor solicitări de conectare, într-un efort de a identifica conturile de utilizator care utilizează combinații implicite sau comune de nume de utilizator și parolă.

Există multe moduri posibile în care un site WordPress poate fi piratat, motiv pentru care o abordare largă la nivel de server este atât de importantă .Unele dintre cele mai probabile riscuri de hacking includ următoarele:

Atacurile cu forță brută : Acest tip de atac implică încercarea în mod repetat a diferitelor combinații de nume de utilizator și parole în încercarea de a obține acces la panoul de administrare al unui site.

Injecție SQL : Acest tip de atac implică injectarea de cod rău intenționat în baza de date a unui site web, care poate fi apoi folosit pentru a fura informații sensibile sau a perturba funcționalitatea site-ului.

Cross-Site Scripting (XSS) : Acest tip de atac implică injectarea de cod rău intenționat într-un site web, care este apoi executat de browserul utilizatorului.Aceasta poate fi folosită pentru a fura informații sensibile, cum ar fi acreditările de conectare sau pentru a redirecționa utilizatorii către un site web rău intenționat.

File Injection : Acest tip de atac implică încărcarea de fișiere rău intenționate pe un site web, cum ar fi ușile din spate sau malware.Aceste fișiere pot fi apoi utilizate pentru a obține acces neautorizat la site.

Software învechit : Dacă un site web nu este actualizat în mod regulat, acesta poate avea vulnerabilități care pot fi exploatate de hackeri.

Phishing : Acest tip de atac păcălește utilizatorii să furnizeze informații sensibile, cum ar fi date de conectare, numere de card de credit și alte informații personale, prin crearea unei pagini de conectare false.

De ce pluginurile de securitate nu sunt alegerea inteligentă

În virtutea modului în care funcționează pluginurile, acestea funcționează numai odată ce o solicitare ajunge la server. Aceasta înseamnă că este posibil doar ca pluginul de securitate să provoace lucruri la nivel PHP. De exemplu, aceasta ar putea include o autentificare cu un mecanism pentru a preveni posibilul acces neautorizat odată ce serverul a primit cererea.

Rezultatul este, desigur, consumarea resurselor suplimentare de server la fiecare cerere către server, deoarece se află între cerere și începutul procesării rezultatului. Evident, acest lucru nici măcar nu este sigur: pluginvulnerabilities.com a testat 31 de plugin-uri de securitate împotriva unei vulnerabilități zero-day și doar 6 dintre ele au reușit să evite atacul.

Pluginurile de securitate WordPress trebuie să fie complet încărcate înainte de a putea începe procesarea traficului. Aceasta înseamnă că aceste plugin-uri vor consuma resurse chiar dacă site-ul dvs. nu este atacat .

De asemenea, nu este nemaivăzut ca pluginurile de securitate WordPress în sine să aibă propriile vulnerabilități , iar acestea pot fi, de asemenea, exploatate de hackeri.

De exemplu, Wordfence, un plugin de securitate popular cu peste 4 milioane de utilizatori, a raportat mai multe vulnerabilități, cum ar fi Cross Site Scripting și Broken Access Control de-a lungul anilor. Aceste vulnerabilități au fost corectate rapid, dar acest lucru nu schimbă faptul că sistemele au fost expuse, chiar dacă pentru o perioadă scurtă de timp.

Există, de asemenea, pericolul ca pluginurile de securitate să creeze un sentiment fals de securitate .S-a întâmplat înainte ca un administrator de site să instaleze un plugin de securitate popular, crezând că le-ar proteja site-ul de toate tipurile de atacuri, neglijând mai departe alte măsuri de securitate importante, cum ar fi actualizări regulate de software, parole puternice, autentificare cu doi factori. , și copii de rezervă.

O altă problemă pe care am văzut-o este cazul în care pluginurile de securitate cauzeazăprobleme de compatibilitate cu temele existente sau cu alte plugin-uri.În unele cazuri, acest conflict poate duce la lăsarea site-ului dvs. vulnerabil la atac.

Și este, de asemenea, destul de obișnuit să experimentațifalse pozitive prin utilizarea pluginurilor de securitate.Pluginurile prea dornice pot semnala acțiunile legitime ca fiind rău intenționate, ceea ce poate duce la alarme false și neplăceri pentru administratori și utilizatori.

Concluzia este că, atunci când vine vorba de securitatea site-ului dvs. WordPress,nu există nicio soluție de plugin pe care să o puteți utiliza pentru a-l seta și a-l uita .Securitatea este o fiară organică în evoluție, care are nevoie de vigilență constantă.

Există pluginuri de securitate care merită folosite?

Deci, cum protejezi un site web WordPress?

Pentru început, lucrați cu un furnizor de găzduire WordPress care aduce competență în securitate, scalare și performanță - așa cum procedăm la Servebolt. Facem sarcinile grele legate de menținerea în siguranță a infrastructurii de bază pentru site-urile dvs.

Dincolo de aceasta, doriți ca toate cererile rău intenționate (și potențial rău intenționate) să fie blocate înainte ca acestea să ajungă chiar pe serverul dvs. - înainte ca acestea să aibă posibilitatea de a consuma resurse, astfel încât să puteți oferi cea mai bună experiență posibilă pentruvizitatorii adevărați ai site-ului web.

Un exemplu de acest tip de soluție este Cloudflare. Cloudflare este o companie care oferă o varietate de servicii de securitate pe internet, inclusiv o rețea de livrare de conținut (CDN), un sistem de nume de domeniu (DNS) și un paravan de protecție pentru aplicații web (WAF). Aceste servicii lucrează împreună pentru a proteja site-urile web împotriva mai multor forme de atac cibernetic, cum ar fi atacurile DDoS, injecția SQL și scriptingul încrucișat (XSS). Cloudflare oferă, de asemenea, funcții suplimentare, cum ar fi criptarea SSL/TLS, precum și un sistem de gestionare a botului pentru a îmbunătăți și mai mult securitatea unui site web.

La Servebolt, pe lângă această abordare, oferim două servicii proactive gestionate, Accelerated DomainsșiServebolt CDN, care pot întări securitatea site-ului dvs. web.Sunt construite pe baza ofertei Cloudflare Enterprise și oferim două domenii gratuite tuturor clienților care se înscriu.

Folosim atât produse de securitate bazate pe server, cât și construim pe WAF de la Cloudflare atunci când acesta este implementat prin noi. Adăugăm măsuri de securitate suplimentare pentru a reduce încercările de hack, precum și pentru a preveni accesul direct la server atunci când folosim Cloudflare pentru a reduce încercările de hacking prin forță brută. Aceste măsuri sunt configurate pentru a bloca automat cererile potențial dăunătoare și nu necesită nicio configurare sau întreținere .

Pe lângă asta, unele plugin-uri pot îmbunătăți securitatea site-ului dvs., deși acestea nu oferă în niciun caz o soluție unică:

• Two-Factor :Acest plugin este dezvoltat de echipa WordPress și permiteautentificarea cu doi factorifolosind parole unice bazate pe timp (OTP, Google Authenticator), Universal 2nd Factor (FIDO U2F, YubiKey), e-mail și verificarea de rezervă coduri.

Dacă acreditările dvs. sunt scurse pe internet, serverul dvs. poate fi încălcat chiar dacă majoritatea traficului rău intenționat este blocat de un firewall.Vă recomandăm insistent să folosiți autentificarea cu doi factori pentru a descuraja actorii răi.

O alternativă pe care o folosim la Servebolt este Cloudflare Access .

• Patchstack șiWPScan:Un scanner de vulnerabilități, cum ar fi Patchstack sau WPScan, poate fi util în urmărirea vulnerabilităților. WP Scan, de exemplu, verifică în mod continuu amenințările la adresa serverului dvs. în raport cu o bază de date cunoscută de peste 37.000 de vulnerabilități întreținute de profesioniștii în securitate WordPress. Dacă este detectată o amenințare, aceasta poate declanșa onotificare prin e-mail sau folosind un webhook personalizat cu toate informațiile și recomandările necesare pentru rezolvarea problemei.

Sfaturi pentru consolidarea site-ului dvs. WordPress

Utilizarea Accelerated Domains sau Servebolt CDN vă protejează site-ul împotriva multor atacuri binecunoscute. Ei implementează automat limitarea ratei de conectare și XML-RPC pentru a se proteja împotriva atacurilor rău intenționate de forță brută pe pagina de conectare a site-ului dvs. Dar vă puteți îmbunătăți și mai mult securitatea prin implementarea următoarelor practici suplimentare de securitate pe site-ul dvs. web.

Limitarea accesului la fișiere

Fiecare fișier și folder de pe serverul dvs. are drepturi de acces asociate, care specifică cine poate citi, scrie și executa fișierul sau directorul dat. Deși a avea permisiuni deschise asupra activelor publice ale site-ului dvs. ar putea să nu pară o problemă, este cu siguranță o practică proastă. În plus, unele fișiere sensibile, cum ar fi .htaccessșiwp-config.php,ar trebui să fie blocate în siguranță.

Vă recomandăm să blocați toate fișierele sensibile cât mai mult posibil și să slăbiți doar pentru scurt timp aceste permisiuni atunci când este absolut necesar.

Pentru.htaccess, ar trebui să modificați nivelul de permisiuni la 644 – acest lucru ar acorda proprietarului fișierului acces de citire-scriere, toți ceilalți utilizatori putând doar săciteascăfișierul.

Puteți restricționa și mai mult aceste permisiuni pentru fișierulwp-config.phpsetând modul de permisiune fie la400 , fie la 440, adică doar proprietarul (sau, opțional, și alți membri ai grupului selectat) pot citi fișierul, în timp ce modificări poate fi realizată numai de utilizatorul root.

Să aruncăm o privire detaliată asupra cerințelor de permisiuni pentru anumite directoare WordPress:

• Directorul rădăcină WordPress (/):

Toate fișierele, cu excepția.htaccess, ar trebui să poată fi scrise numai de contul dvs. - setați modul de permisiuni la 644 pentru toate fișierele, cu excepția.htaccess.

• Zona de administrare WordPress (/wp-admin/):

Toate fișierele ar trebui să poată fi scrise numai de contul dvs. - setați modul de permisiuni la 644 pentru toate fișierele.

• Logica aplicației WordPress (/wp-includes/):

Toate fișierele ar trebui să poată fi scrise numai de contul dvs. - setați modul de permisiuni la 644 pentru toate fișierele.

• Conținut furnizat de utilizator (/wp-content/):

Acest director este destinat să poată fi scris atât de dvs., cât și de procesul serverului web - setați modul de permisiuni la 664 pentru toate fișierele.

Cu toate acestea, în directorul /wp-content/, puteți găsi:

• Fișiere cu teme (/wp-content/themes/):

Dacă doriți să utilizați editorul de teme încorporat, toate fișierele trebuie să poată fi scrise de către procesul serverului web. Dacă nu trebuie să utilizați editorul, atunci toate fișierele pot fi scrise numai de contul dvs. de utilizator.

• Fișiere plugin (/wp-content/plugins/):

Toate fișierele ar trebui să poată fi scrise numai de contul dvs. de utilizator. Cu toate acestea, unele pluginuri terță parte ar putea avea nevoie de acces la scriere. Vă recomandăm să eliminați permisiunile de scriere și să le acordați numai unor plugin-uri specifice, de la caz la caz.

Dezactivați execuția fișierelor PHP în directoarele selectate

Puteți îmbunătăți și mai mult securitatea site-ului dvs. WordPress prin restricționarea execuției fișierelor PHP în directoare în care nu este necesar.

Prima locație în care ar trebui să-l dezactivați este folderul dvs./wp-content/deoarece un utilizator ar putea încărca un script PHP rău intenționat și ar putea încerca să-l ruleze.

Puteți dezactiva execuția PHP creând un fișier numit.htaccessîn folderul dorit și lipind următorul cod în el:

 <Fișiere *.php>

nega de la toti

</Fișiere>

Codul de mai sus creează o regulă care interzice execuția oricăror fișiere PHP din directorul specificat. Aceasta înseamnă că, chiar dacă un hacker injectează cod PHP rău intenționat într-un fișier, acesta nu se poate executa pe server, prevenind orice deteriorare a site-ului dvs.

Dezactivați indexarea și navigarea în directoare

Navigarea prin director este o caracteristică a serverelor web care arată toate fișierele și directoarele disponibile dintr-un anumit director al unui site web. Când este activat, oricine de pe internet poate vedea tot conținutul pe orice cale a site-ului web. Acesta este un risc major de securitate, deoarece poate dezvălui informații confidențiale și configurația serverului.

De exemplu, dacă cineva ar vizita https://www.example.com/static , ar putea vedea (și descărca) toate fișierele prezente în această cale. Este foarte recomandat să dezactivați această funcție. Puteți face acest lucru adăugând următoarea linie la fișierul dvs..htaccess.

 Opțiuni -Indici

Utilizați Fail2ban pentru a opri atacurile cu forță brută

Fail2ban este un utilitar pentru servere care pot crea în mod dinamic reguli de firewall pentru blocarea adreselor IP pe baza unei condiții predefinite. Îl poți folosi cu WordPress pentru a bloca temporar un utilizator dacă nu se conectează de 3 ori la rând.

Nu utilizați numele de utilizator „admin”.

Pentru un hacker, un cont cu privilegii administrative este echivalent cu bijuteriile coroanei – conturile de administrator pot debloca toate ușile de pe server. Deloc surprinzător, acesta este primul cont vizat de hackerii. Este o idee bună să folosiți un nume diferit pentru acest cont de administrator pentru a îngreuna acest proces și pentru a descuraja orice atacuri cu forță brută.

Dacă încă utilizați numele de utilizator „admin”, ar trebui să creați un al doilea cont cu un alt nume și să îi acordați acces de administrator.Conectați-vă la al doilea cont și ștergeți vechiul cont de administrator.

Restricționarea privilegiilor utilizatorului bazei de date

Securitatea bazelor de date este de o importanță capitală pentru orice site web. Când instalați mai multe site-uri pe serverul dvs., creați baze de date și utilizatori separate pentru fiecare site. Acest lucru face mai dificil pentru intruși să obțină acces la sistemul complet și să fure informații personale.

De asemenea, ar trebui să configurați corect privilegiile contului MySQL și să dezactivați toate caracteristicile inutile, cum ar fi conexiunea TCP la distanță. De asemenea, puteți restricționa încercările de conectare dacă utilizatorul bazei de date nu se află într-o locație pe lista albă. De exemplu, puteți bloca accesul la conexiunile root dacă conexiunea nu a fost inițiată pe localhost.

În plus, WordPress are nevoie doar de permisiuni de citire și scriere la o bază de date MySQL pentru funcții normale. Dacă acordați doar SELECT, INSERT, UPDATE și DELETE utilizatorului bazei de date, totul va funcționa în continuare bine. Cu toate acestea, uneori, pluginurile terță parte și actualizările WordPress pot cauza erori atunci când încearcă să modifice schema bazei de date sau să creeze un nou tabel. Citiți cu atenție notele de lansare și documentația fiecărui plugin dacă utilizați această măsură de securitate.

Schimbați URL-ul wp-admin

Pentru a face mai dificil pentru hackeri să lanseze atacuri cu forță brută pe site-ul dvs. WordPress, luați în considerare schimbarea adresei URL implicite a tabloului de bord administrativ în ceva obscur. Pentru a face acest lucru, puteți utiliza un plugin precum WPS Ascundeți autentificarea sau Modificați autentificarea wp-admin , care vă permite să personalizați cu ușurință adresa URL de conectare.

Dezactivați editarea fișierelor

Funcția de editare a fișierelor din WordPress permite administratorilor să editeze fișierele de teme și plugin direct din tabloul de bord. Deși este util la configurarea site-ului, acest lucru poate reprezenta un risc de securitate dacă contul de administrator devine compromis. Dezactivarea funcției de editare a fișierelor atenuează acest risc.

Acest lucru va reduce, de asemenea, editările accidentale și va impune o documentare mai bunăa modificărilor, deoarece toate noile revizuiri vor fi urmărite prin controlul versiunilor și vor trebui să treacă prin testare înainte de a intra în direct pe site.

Pentru a dezactiva editarea fișierelor în WordPress, puteți adăuga următoarea linie de cod în fișierul wp-config.php al site-ului dvs.:

 define ('DISALLOW_FILE_EDIT', true );

Schimbarea prefixului bazei de date

WordPress folosește un șir comun de text în toate numele tabelelor pentru a facilita identificarea. Schimbarea acestui prefix face dificil pentru actorii rău intenționați să ghicească numele tabelelor atunci când efectuează atacuri de injecție SQL și alte forme de exploatare a bazei de date.

Deși ar putea părea o îmbunătățire mică și nesemnificativă, cele mai multe atacuri pe internet sunt efectuate de roboți automatizați care vizează doar fructele care nu se agață. Schimbând valoarea implicită, vă puteți apăra împotriva majorității atacurilor automate .

Prefixul actual al bazei de date este stocat în fișierul wp-config.php din directorul rădăcină WordPress. Valoarea implicită arată cam așa.

 $table_prefix = 'wp_';

Puteți înlocui prefixul „wp_” cu un prefix nou, unic, la alegere. Rețineți că aveți voie să utilizați numai litere, cifre și caractere de subliniere. De exemplu:

 $table_prefix = 'prefixul_meu_personalizat_123_';

După ce salvați modificările în fișierul wp-config.php, va trebui să actualizați manual tabelele SQL existente cu noile nume. Dacă nu sunteți sigur cum să faceți acest lucru, puteți utiliza un plugin precum Brozzme DB Prefix .

Deconectați automat utilizatorii inactivi

Implementarea unei caracteristici de deconectare automată în WordPress poate ajuta la îmbunătățirea securității site-ului dvs. prin închiderea automată a sesiunilor utilizatorilor după o anumită perioadă de inactivitate. Această funcție poate ajuta la prevenirea accesului neautorizat la site-ul dvs. în cazul în care un utilizator uită să se deconecteze sau dacă își lasă dispozitivul nesupravegheat.

Pentru a implementa o funcție de deconectare automată în WordPress, puteți utiliza un plugin precum Deconectare inactivă . Acest lucru va ajuta la protejarea confidențialității utilizatorilor, asigurându-se că informațiile sensibile nu sunt accesibile persoanelor neautorizate.

Raport după acțiune – Luați măsuri astăzi pentru a vă proteja site-ul și reputația

30.000 de site-uri web sunt sparte în fiecare zi , iar WordPress alimentează 43% din web, ceea ce reprezintă un posibil 12.900 de site-uri WordPress serios compromise în fiecare zi.

Din păcate, sfaturile disponibile online care detaliază cum să păstrați un site WordPress în siguranță sunt fie vagi, depășite, fie pur și simplu greșite. Acest sfat prost, dependența exclusiv de pluginuri terță parte și presupunerea că odată ce securitatea este setată, o puteți uita, sunt cele care au ca rezultat atât de multe dintre aceste încălcări.

Deși securitatea nu este niciodată „terminată”, nu trebuie să fie o durere de cap, iar majoritatea sfaturilor din acest articol sunt destul de simple pentru majoritatea. Desigur, a avea o companie puternică de găzduire web care ia securitatea la fel de în serios pe cât ar trebui este un prim pas major pentru majoritatea.

Aveți întrebări despre păstrarea în siguranță a site-urilor dvs. WordPress?Simțiți-vă liber să ne contactați și vom fi bucuroși să vă prezentăm modul în care Servebolt Cloud vă poate ajuta să oferiți cea mai bună experiență posibilă pentru vizitatorii dvs. Sau, dacă acest ghid ți-a răspuns deja la toate întrebările și ești gata să încerci abordarea Servebolt...

Vă interesează găzduirea gestionată, care este empiric mai rapidă? Încercați abordarea noastră de găzduire WordPress :

• Scalabilitate: În testele de sarcină de lucru cu utilizatorul real, Servebolt a furnizat timpi medii de răspuns de 65 ms, timpi de răspuns de 4,9 ori mai rapid decât al doilea cel mai bun.
• Cei mai rapidi timpi de încărcare la nivel global: timpii medii de încărcare a paginii de 1,26 secunde ne plasează în fruntea listei de rezultate globale WebPageTest.
• Cea mai rapidă viteză de calcul: serverele Servebolt oferă viteze de bază de date nemaivăzute până acum, procesând de 2,44 ori mai multe interogări pe secundă decât media și rulând PHP de 2,6 ori mai rapid decât cel mai bun!
• Securitate și timp de funcționare perfecte: Cu un timp de funcționare de 100% pe toate monitoarele și un rating A+ pentru implementarea noastră SSL, puteți fi siguri că site-ul dvs. este online și securizat.