Cum să securizați un site WordPress

Știți că securizarea unui site WordPress este acum mai importantă ca niciodată din cauza frecvenței și complexității tot mai mari a atacurilor cibernetice? Este o realitate dură pe care nicio afacere online nu își poate permite să o ignore.

De fapt, conform rapoartelor Colorlib, peste 13.000 de site-uri web WordPress au fost piratate zilnic în 2023.

Acesta este un număr uimitor și înseamnă că trebuie să fii foarte vigilent atunci când vine vorba de a-ți asigura prezența online.

Dar nu e nevoie să intri în panică.

În această postare, vom discuta pașii pe care îi puteți lua pentru a vă menține site-ul în siguranță și protejat de amenințările cibernetice, astfel încât să vă puteți concentra pe dezvoltarea afacerii dvs. fără nicio grijă.

Așadar, dacă sunteți gata să duceți securitatea site-ului dvs. la următorul nivel, haideți să ne aruncăm imediat!

1 De ce să securizați un site web WordPress?

Site-ul dvs. web servește drept casă online, iar WordPress este platforma din spatele acestuia. Cu toate acestea, ca o casă fizică, site-ul dvs. WordPress are nevoie de ziduri puternice pentru a rezista împotriva potențialelor amenințări.

Iată de ce este esențial să vă securizați site-ul:

Securizarea site-ului dvs. web și a confidențialității vizitatorilor

Potrivit datelor, o medie de 69% dintre site-urile WordPress piratate sunt victime ale unor software-uri învechite și parole slabe. Este ca și cum ai lăsa ușa de la intrare deschisă cu un covoraș de bun venit pentru hoții cibernetici.

Pierderile din cauza criminalității cibernetice pentru companii ating trilioane anual, iar WordPress este o țintă frecventă.

Prin urmare, protejarea datelor sensibile precum parolele, e-mailurile și detaliile financiare este esențială. Un site web securizat stimulează încrederea și implicarea utilizatorilor, iar utilizatorii au șanse mai mari să se întoarcă la un site securizat, sporind loialitatea vizitatorilor și conversiile.

Prevenirea încălcării datelor și a injectărilor de malware

Încălcările de date pot cauza prejudicii reputației, probleme legale și pierderea încrederii clienților, costând afacerilor o medie de 9,44 milioane de dolari pentru recuperarea din SUA.

De asemenea, injecțiile de malware pe site-urile WordPress piratate pot redirecționa vizitatorii către site-uri rău intenționate, dăunându-ți clasamentul SEO și experiența utilizatorului. Deci, va trebui să vă păstrați site-ul în siguranță pentru a preveni astfel de situații.

Creșteți performanța SEO a site-ului dvs

Google acordă prioritate securității, iar site-urile web securizate se bucură adesea de un clasament SEO mai bun. Securizarea site-ului dvs. WordPress poate îmbunătăți clasamentul în motoarele de căutare, atrăgând mai mult trafic organic.

Mai mult, scripturile și pluginurile rău intenționate pot bloca site-ul dvs., trăgând în jos timpii de încărcare a paginii și frustrând utilizatorii. Un site web securizat funcționează fără probleme, păstrându-vă vizitatorii fericiți și implicați.

Respectarea Reglementărilor privind confidențialitatea datelor

Reglementările privind confidențialitatea datelor necesită măsuri puternice de securitate a site-ului web pentru a proteja datele utilizatorilor. GDPR și CCPA sunt unele dintre reglementările pe care companiile trebuie să le respecte.

Prin urmare, securizarea site-ului dvs. WordPress este esențială pentru a evita amenzi mari și complicații legale.

Amintiți-vă, securitatea site-ului web nu este o investiție unică, ci un proces continuu.

Luând măsuri proactive, vă puteți transforma site-ul WordPress dintr-o țintă vulnerabilă într-o fortăreață sigură, protejându-vă datele, reputația și succesul online.

2 metode de a securiza un site WordPress

Să discutăm acum despre diferite metode de a securiza un site WordPress.

2.1 Măsuri de bază esențiale de securitate

Să discutăm acum despre practicile importante de securitate pentru a vă proteja site-ul WordPress de riscuri potențiale.

Păstrați totul la zi

Protejarea site-ului dvs. WordPress este simplă - mențineți-l la zi. Aceasta include WordPress și fișierele sale de bază, cum ar fi teme și pluginuri.

Actualizările regulate sunt cruciale, deoarece includ adesea patch-uri de securitate pentru vulnerabilitățile descoperite în versiunile anterioare.

Dincolo de securitate, actualizările introduc și noi funcții și îmbunătățiri site-ului dvs.

Pentru a revizui și actualiza site-ul dvs. WordPress și fișierele sale principale, conectați-vă la tabloul de bord și accesați Tabloul de bord → Actualizări .

Dacă este disponibilă o actualizare, faceți clic pe butonul Actualizare la versiune . Pentru teme și pluginuri, mergeți la secțiunea Teme sau Pluginuri , selectați-le pe cele care au nevoie de o actualizare și faceți clic pe butonul de actualizare de lângă fiecare.

Pentru securitate sporită, luați în considerare activarea actualizărilor automate pentru WordPress, pluginuri și teme. Acest lucru vă asigură că site-ul dvs. rămâne securizat, chiar și atunci când nu îl monitorizați în mod activ.

Înainte de a activa actualizările automate, asigurați-vă că faceți periodic copii de rezervă ale site-ului dvs. Această precauție vă asigură că vă puteți restabili cu ușurință site-ul dacă ceva nu merge bine în timpul sau după o actualizare.

Utilizați parole puternice și unice

De asemenea, vă puteți securiza site-ul WordPress folosind parole puternice și unice. Parolele slabe și ușor de ghicit facilitează accesul neautorizat la site-ul dvs. de către hackeri.

Pentru a crea parole puternice și sigure, urmați aceste sfaturi:

• Optați pentru minimum 12 caractere sau mai mult.
• Amestecați litere mari și mici, cifre și caractere speciale.
• Evitați să utilizați numere secvențiale, caractere repetate sau parole obișnuite precum „parola123”.
• Utilizați o parolă diferită pentru fiecare cont online, inclusiv pentru site-ul dvs. WordPress.
• Luați în considerare utilizarea unui instrument de gestionare a parolelor de încredere pentru a vă genera și stoca în siguranță parolele.
• Dacă este posibil, evitați parolele care includ numele dvs. de utilizator sau numele site-ului.

Amintiți-vă, atunci când instalați un nou site WordPress, înlocuiți întotdeauna eșantionul implicit de parolă cu unul mai puternic.

Dar dacă site-ul dvs. WordPress este deja configurat, schimbați-vă parola navigând la Utilizatori → Profil , derulând în jos și făcând clic pe butonul Setați o parolă nouă pentru o parolă puternică, aleatorie.

De asemenea, schimbați-vă în mod regulat parola cu parole puternice de fiecare dată.

Instalați un certificat SSL

Când vă securizați site-ul WordPress, este importantă instalarea unui certificat SSL. Acest certificat asigură că datele schimbate între site-ul dvs. și vizitatori sunt criptate, oferind protecție împotriva accesului neautorizat.

Obținerea unui certificat SSL se poate face fie achiziționând unul de la furnizori de renume sau obținerea unui certificat gratuit prin furnizorul dvs. de găzduire.

Cu toate acestea, dacă ați instalat deja un certificat SSL pentru site-ul dvs. WordPress, dar acesta nu apare pe adresa URL a site-ului dvs., există o modalitate de a-l activa.

Pur și simplu accesați Setări → General în tabloul de bord WordPress și modificați „Adresa WordPress (URL)” și „Adresa site-ului (URL)” adăugând „https://” la început în loc de „http://”.

Dar dacă întâmpinați probleme legate de SSL pe site-ul dvs., puteți utiliza pluginuri precum Really Simple SSL sau SSL Insecure Content Fixer pentru a le rezolva.

Alegeți Secure Hosting

Pentru a spori securitatea, selectați un furnizor de găzduire de renume, cunoscut pentru măsurile de securitate și fiabilitate. Căutați funcții precum firewall-uri, scanare malware și protecție DDoS.

Asigurați-vă că oferă backup regulat, acceptă protocoale securizate precum SFTP sau SSH și mențin infrastructura și software-ul actualizate. Un furnizor de găzduire securizat formează o bază solidă pentru securitatea site-ului dvs. WordPress.

Pentru a implementa acest lucru, cercetați furnizorii de găzduire, citiți recenzii și alegeți unul cu o bună reputație de securitate.

Verificați caracteristicile, asistența și opțiunile de rezervă ale acestora. Când acordați prioritate unui mediu de găzduire securizat, vă va proteja site-ul și datele.

2.2 Asigurați-vă site-ul WordPress

Să discutăm acum câteva dintre cele mai eficiente modalități de a vă securiza site-ul WordPress, inclusiv cum să preveniți accesul neautorizat, să vă protejați datele și să reduceți riscul atacurilor cibernetice.

Utilizați teme și pluginuri securizate

Când selectați teme și pluginuri pentru site-ul dvs. WordPress, este important să le alegeți din surse de renume, cum ar fi depozitul oficial WordPress sau MyThemeShop.

Aceste surse efectuează verificări de securitate amănunțite și oferă în mod constant actualizări pentru a asigura securitatea produselor lor.

Cu toate acestea, este important să evitați utilizarea temelor sau pluginurilor din surse necunoscute sau nesigure, în special teme sau pluginuri anulate. Acestea pot adăposti vulnerabilități sau coduri rău intenționate care pot pune în pericol securitatea site-ului dvs.

Înainte de a instala o temă sau un plugin, fă-ți timp pentru a revizui evaluările, a citi feedbackul utilizatorilor și a evalua frecvența de actualizare pentru a te asigura că este de încredere și menținută în mod activ.

Acest lucru vă asigură că site-ul dvs. rămâne securizat și actualizat cu cele mai recente măsuri de securitate.

Faceți backup în mod regulat pentru site-ul dvs. WordPress

Copierea de rezervă regulată a datelor site-ului dvs. este esențială pentru a le proteja împotriva incidentelor de securitate, pierderii de date și problemelor site-ului. Cu backup-urile recente, puteți să vă restaurați rapid site-ul în caz de atacuri cibernetice și să minimizați timpul de nefuncționare.

Crearea zilnică de copii de rezervă este în general recomandată, în special pentru site-urile web cu mult conținut și trafic ridicat.

În plus, este important să testați periodic backup-urile pentru a vă asigura fiabilitatea. O modalitate de a simplifica procesul de backup este utilizarea pluginurilor care oferă caracteristici precum backup-uri programate și opțiuni de stocare la distanță.

Puteți consulta postarea noastră detaliată despre backup-ul site-ului dvs. WordPress.

Limitați încercările de conectare

O altă modalitate de a vă securiza site-ul web este să limitați încercările de conectare pe site-ul dvs., ceea ce limitează numărul de încercări eșuate de autentificare de la o singură adresă IP.

Acest lucru face mai dificil pentru hackeri să obțină acces neautorizat prin ghicirea acreditărilor dvs. de conectare.

Când limitați încercările de conectare, puteți adăuga un strat de protecție împotriva atacurilor cu forță brută pe site-ul dvs. WordPress.

Iată cum vă puteți limita încercările de conectare la site:

• Instalați și activați un plugin precum Limitarea încercărilor de conectare reîncărcate din directorul dvs. de pluginuri WordPress. Pentru mai multe detalii, consultați ghidul nostru pas cu pas despre cum să instalați un plugin WordPress.
• După activare, navigați la pagina de setări a acesteia. Apoi, derulați la secțiunea „Setări aplicații”.
• În opțiunea Blocare , configurați numărul maxim de încercări de conectare permise înainte de a bloca o adresă IP.

• Setați durata perioadei de blocare pentru adresele IP blocate.
• Opțional, activați notificările prin e-mail pentru a primi alerte despre blocări sau încercări suspecte de conectare. Puteți vedea această opțiune în Setări generale.

După o configurare corespunzătoare, încercările dvs. de conectare la site-ul dvs. vor fi limitate și orice adresă IP care depășește numărul specificat de încercări eșuate de conectare va fi blocată temporar de la accesarea paginii de conectare.

Activați 2FA (autentificare cu doi factori)

Activarea autentificării în doi factori (2FA) adaugă un nivel suplimentar de securitate site-ului dvs. WordPress, solicitând utilizatorilor să furnizeze două forme de verificare pentru a se conecta.

Similar cu Google, Facebook și Twitter, vă puteți întări site-ul WordPress cu această funcție, reducând semnificativ riscul accesului neautorizat, chiar dacă parola dvs. este compromisă.

Iată cum:

• Instalați și activați pluginul „Wordfence Login Security”. Odată activat, accesați meniul „Securitate autentificare”.
• Găsiți un cod QR și introduceți fila „Autentificare în doi factori”. Deci, va trebui să-l scanați pentru a activa autentificatorul pe site-ul dvs. web.

• Apoi, descărcați și instalați aplicația Google Authenticator pe telefon; îl vei folosi pentru a scana codul QR pentru activare pe site-ul tău.
• Deschideți aplicația și selectați „Scanați un cod QR” pentru a scana codul sau introduceți manual cheia de configurare.
• După ce aplicația verifică codul, oferă un cod unic. Copiați acest cod în câmpul desemnat din secțiunea coduri de recuperare.
• Faceți clic pe butonul ACTIVARE pentru a finaliza configurarea.

Nu uitați să descărcați cele cinci coduri de recuperare folosind butonul DOWNLOAD . Aceste coduri sunt cruciale în cazul în care vă pierdeți telefonul, asigurând accesul continuu la site-ul dvs.

Utilizați soluții robuste anti-spam

Spamul poate fi deranjant și poate aduce riscuri de securitate, compromite experiența utilizatorului și poate afecta negativ performanța site-ului dvs.

Deci, pentru a preveni spamul în mod eficient pe site-ul dvs., puteți utiliza pluginul WordPress „Akismet Anti-spam”.

Akismet este un plugin puternic de filtrare a spam-ului dezvoltat de Automattic, compania din spatele WordPress. De obicei, vine preinstalat cu WordPress și trebuie doar să îl activați și să obțineți o cheie API.

Pentru a obține cheia API, va trebui să vă înregistrați pe site-ul web Akismet și apoi să o introduceți în câmpul Cheie API din pagina pluginului din tabloul de bord WordPress.

Odată ce ați conectat cu succes cheia API, pluginul Akismet va folosi algoritmi avansați pentru a analiza automat comentariile și formularele trimise pe site-ul dvs. web, eliminând eficient spamul.

Alternativ, puteți opta pentru pluginul „Antispam Bee”, care are un scop similar.

Schimbați numele de utilizator de administrator implicit

În timpul instalării unui site web WordPress, numele de utilizator implicit este de obicei setat ca „admin”. Cu toate acestea, există cazuri în care utilizatorii lasă din greșeală acest nume de utilizator neschimbat.

Hackerii vizează adesea numele de utilizator „admin”, deoarece este recunoscut pe scară largă, ceea ce facilitează eforturile lor rău intenționate. Pentru a îmbunătăți securitatea site-ului dvs., este important să schimbați numele de utilizator de administrator, ceea ce face mai dificil pentru atacatori să ghicească și să obțină acces neautorizat.

Din păcate, WordPress nu oferă o opțiune directă de modificare a numelor de utilizator odată ce instalarea este finalizată.

Deci, pentru a ocoli acest lucru, ar trebui să instalați și să activați pluginul „Schimbați numele de utilizator”. Odată activat, accesați Utilizatori → Toți utilizatorii , selectați utilizatorul cu numele de utilizator „admin” și faceți clic pe „Editați”.

Pe pagina Profil, găsiți opțiunea „Nume de utilizator” și faceți clic pe Modificare . Apoi, selectați un nou nume de utilizator pentru contul de administrator, de preferință ceva unic și fără legătură cu numele site-ului dvs.

În cele din urmă, derulați în partea de jos a paginii și faceți clic pe butonul Actualizare profil pentru a salva modificările. WordPress va actualiza automat numele de utilizator admin.

Schimbarea numelui de utilizator de administrator nu va afecta conținutul sau setările site-ului dvs. Singura modificare va fi a numelui de utilizator pentru accesarea tabloului de bord admin.

Modificați adresa URL implicită „wp-login”.

Toată lumea știe că adresa URL implicită de conectare a unui site web alimentat de WordPress se termină de obicei cu „wp-login”.

Cu toate acestea, va trebui să modificați acest model de adresă URL pentru a face mai dificil pentru oameni să acceseze adresa URL de conectare, cu atât mai puțin să încercați să vă folosiți detaliile de conectare.

Pentru a schimba adresa URL implicită „wp-login”, urmați acești pași:

• Instalați și activați pluginul „WPS Hide Login” din directorul de pluginuri WordPress.
• După activare, navigați la Setări → WPS Ascundere autentificare și vă va duce la partea de jos a setărilor generale ale site-ului dvs. WordPress.
• Apoi, adăugați o adresă URL de conectare personalizată care este unică și nu poate fi ușor de ghicit.

• Apoi, salvați modificările, iar pluginul va actualiza automat adresa URL de conectare.

Odată ce adresa URL de conectare personalizată este setată, va trebui să accesați noua adresă URL pentru a vă conecta la tabloul de bord de administrare WordPress. Adresa URL implicită „wp-login” nu va mai fi accesibilă.

Alegerea unei adrese URL de conectare personalizată este recomandată pentru a fi ușor de reținut pentru dvs., dar dificil de ghicit pentru alții.

Scanați-vă în mod regulat site-ul web

Pentru a vă păstra site-ul WordPress în siguranță, este esențial să scanați în mod regulat eventualele amenințări de securitate, programe malware sau activități suspecte. Această măsură proactivă ajută la menținerea integrității site-ului dvs.

Instalați și activați un plugin de securitate precum Sucuri Security din Directorul de pluginuri WordPress pentru a efectua scanări regulate.

După activare, navigați la Sucuri Security → Dashboard , unde puteți iniția scanări. Pluginul efectuează scanări zilnice în mod implicit, dar puteți personaliza frecvența în setări.

După fiecare scanare, examinați rezultatele furnizate de plugin și luați măsurile necesare pe baza constatărilor. Această monitorizare de rutină asigură securitatea continuă a site-ului dvs. WordPress.

Unele rezultate ale scanării pot implica eliminarea programelor malware, actualizarea pluginurilor sau temelor sau abordarea vulnerabilităților identificate.

Verificați întotdeauna site-ul și activitățile utilizatorului

Monitorizarea site-ului și a activităților utilizatorilor este crucială pentru asigurarea securității site-ului dvs. WordPress.

Urmărind acțiunile întreprinse pe site-ul dvs., puteți detecta cu promptitudine orice activități suspecte sau neautorizate și puteți lua măsurile necesare pentru a le rezolva în mod eficient.

Pentru a monitoriza activitățile site-ului, puteți utiliza caracteristica jurnalelor de audit a pluginului Sucuri. Accesați tabloul de bord Sucuri și derulați în jos până când găsiți fila Jurnalele de audit .

Aceste jurnale vă vor afișa detalii precum încercările de conectare, modificările fișierelor, instalările de pluginuri și multe altele.

De asemenea, puteți naviga la secțiunea Ultimele conectări pentru a verifica și urmări activitățile de conectare pe site-ul dvs., inclusiv încercările reușite și nereușite.

Dacă detectați activități suspecte, luați măsuri prompte pentru a investiga și a atenua potențialele riscuri de securitate.

O altă opțiune este să utilizați un plugin autonom numit „Istoric simplu” pentru a monitoriza jurnalele de activitate ale site-ului dvs. Acest instrument oferă informații valoroase asupra acțiunilor utilizatorilor și ajută la menținerea unui mediu WordPress securizat.

Configurați un sistem pentru alerte de securitate

Configurarea unui sistem pentru alerte de securitate vă asigură că primiți notificări în timp util despre potențiale probleme de securitate sau modificări pe site-ul dvs. WordPress.

Primind prompt alerte, puteți aborda imediat orice amenințări sau vulnerabilități.

Puteți utiliza funcția Alerte din pluginul Sucuri pentru a primi alerte de activitate pe site-ul dvs. Navigați la secțiunea Setări și selectați fila Alerte .

În fila Alerte , adăugați e-mailul pentru primirea alertelor, setați frecvența și specificați tipul de alertă de securitate.

Verificați dacă detaliile de contact furnizate pentru notificările de alertă sunt exacte și actualizate. Această caracteristică se găsește și în alte plugin-uri de securitate.

2.3 Măsuri avansate de securitate

Să explorăm acum câteva măsuri avansate de securitate pe care le puteți lua pentru a îmbunătăți securitatea site-ului dvs. WordPress.

Configurați blocarea geografică pentru a bloca IP-urile

Implementarea blocării GEO pe site-ul dvs. WordPress vă permite să restricționați accesul din anumite țări sau regiuni prin blocarea adreselor IP asociate cu acele locații.

Acest lucru poate ajuta la îmbunătățirea securității site-ului dvs. prin împiedicarea accesului de la potențiali actori rău intenționați sau din regiunile cu risc ridicat.

Puteți bloca IP-urile prin tabloul de bord WordPress, cPanel, pluginul WordPress, .htaccess și fișierul config.php.

Blocarea GEO poate bloca în mod eficient accesul din anumite regiuni, dar s-ar putea să nu fie sigură.

Unele adrese IP pot fi atribuite dinamic sau ușor falsificate, așa că vă recomandăm să utilizați blocarea GEO împreună cu alte măsuri de securitate.

Activați protecția firewall aplicației web

Un Web Application Firewall (WAF) acționează ca o barieră de protecție între site-ul dvs. și potențialele amenințări, prin filtrarea traficului rău intenționat și blocarea tiparelor de atac cunoscute.

Puteți activa gratuit opțiunea de protecție WAF utilizând pluginul Wordfence Security. Deci, va trebui să instalați și să activați pluginul pe site-ul dvs. wordpress.

După activare, navigați la Wordfence → Firewall și activați Wordfence Firewall. Apoi, gestionați setările firewall-ului în funcție de preferințele dvs., cum ar fi activarea regulilor WAF și a opțiunilor avansate de firewall.

După aceea, salvați setările, iar pluginul Wordfence va începe să ofere protecție WAF pentru site-ul dvs.

Prin activarea Wordfence WAF, site-ul dvs. web va fi protejat împotriva amenințărilor obișnuite de securitate, cum ar fi injecțiile SQL, atacurile de scriptare încrucișată (XSS) și încercările de conectare în forță brută.

WAF monitorizează și filtrează continuu traficul de intrare pentru a bloca cererile rău intenționate înainte ca acestea să ajungă pe site-ul dvs.

Dezactivați Trackback-urile și Pingback-urile

Trackback-urile și pingback-urile sunt metode pe care WordPress le folosește pentru a notifica alte site-uri atunci când site-ul dvs. trimite la conținutul lor. Cu toate acestea, acestea pot fi abuzate de spammeri în scopuri rău intenționate.

Pentru a dezactiva trackback-urile și pingback-urile, urmați acești pași:

• Conectați-vă la tabloul de bord de administrare WordPress.
• Navigați la secțiunea „Setări” și faceți clic pe „Discuție”.
• În secțiunea „Setări implicite de postare”, debifați caseta de lângă „Permiteți notificări de linkuri de la alte bloguri (pingback și trackback) pentru postări noi”.

• Derulați în jos și faceți clic pe butonul Salvare modificări .

Dezactivarea trackback-urilor și pingback-urilor împiedică site-ul dvs. WordPress să trimită sau să primească aceste notificări.

Acest lucru ajută la reducerea încărcării inutile a serverului și a potențialelor riscuri de securitate asociate cu spam-ul sau solicitările rău intenționate de trackback/pingback.

Configurați permisiuni precise pentru fișiere

Permisiunile pentru fișiere determină nivelul de acces și control pe care diferiți utilizatori sau procese îl au asupra fișierelor și directoarelor site-ului dvs.

Când permisiunile pentru fișiere sunt configurate corect, puteți limita accesul neautorizat și puteți preveni potențialele încălcări ale securității.

Pentru a configura permisiuni precise pentru fișiere pentru site-ul dvs. WordPress, urmați aceste instrucțiuni generale:

• Utilizați un client FTP sau un panou de control de găzduire pentru a accesa fișierele site-ului dvs.
• Identificați directoarele și fișierele principale care necesită ajustarea permisiunilor, cum ar fi directorul wp-content, fișierul wp-config.php și fișierul .htaccess.
• Setați permisiunile „director” la 755, ceea ce permite proprietarului să citească, să scrie și să execute fișiere, în timp ce restricționează ceilalți să citească și să execute numai.

• Setați permisiunile „fișier” la 644, ceea ce permite proprietarului să citească și să scrie fișiere, restricționând în același timp pe alții la numai citire.
• Pentru fișiere mai sensibile, cum ar fi fișierul wp-config.php, setați permisiunile la 600, care acordă doar acces de citire și scriere proprietarului.

Aceasta este doar o setare generală, așa că contactați asistența furnizorului dvs. de găzduire pentru îndrumări specifice, deoarece permisiunile recomandate pentru fișiere pot varia în diferite medii de găzduire.

Dezactivați raportarea erorilor

Dezactivarea raportării erorilor este o practică importantă de securitate care vă ajută să vă protejați site-ul WordPress prin prevenirea expunerii potențiale a informațiilor sensibile către atacatori.

Jurnalele de erori pot dezvălui, din neatenție, detalii despre configurația site-ului dvs. sau codul de bază, care pot fi exploatate de persoane rău intenționate.

Pentru a dezactiva raportarea erorilor, urmați acești pași:

• Accesați directorul rădăcină al site-ului dvs. prin intermediul unui client FTP sau cPanel.
• În directorul rădăcină sau public_html, găsiți fișierul wp-config.php.
• Descărcați o copie de rezervă a fișierului wp-config.php pentru siguranță.
• Faceți clic dreapta pe fișierul wp-config.php și alegeți „Editare” pentru a-l deschide.
• Localizați linia care spune define('WP_DEBUG', true);
• Înlocuiește „true” cu „false”, făcându-l define('WP_DEBUG,' false); așa cum se arată mai jos.

• Asigurați-vă că salvați modificările după modificarea fișierului wp-config.php.

Dezactivarea raportării jurnalului de erori împiedică afișarea unor potențiale mesaje de eroare sau avertismente pentru utilizatori, inclusiv informații sensibile care ar putea fi utile atacatorilor.

Cu toate acestea, dezactivarea raportării erorilor nu înseamnă că ar trebui să ignorați în totalitate erorile. Ar trebui să monitorizați în continuare site-ul pentru orice probleme și să le rezolvați prompt.

Asigurați-vă fișierul wp-config.php

Fișierul wp-config.php este o componentă critică a instalării dvs. WordPress, deoarece conține informații sensibile, cum ar fi acreditările bazei de date și cheile de securitate.

Este esențial să luați măsuri pentru a securiza acest fișier pentru a vă proteja site-ul WordPress de potențiale încălcări de securitate.

Iată câteva măsuri recomandate pentru a vă securiza fișierul wp-config.php:

1. Luați în considerare mutarea fișierului wp-config.php într-un director din afara folderului rădăcină web. Acest lucru împiedică accesul direct la fișier de pe internet, ceea ce face mai dificil pentru atacatori să exploateze orice vulnerabilități.
2. Asigurați-vă că permisiunile pentru fișiere pentru wp-config.php sunt configurate corect folosind permisiunile recomandate discutate mai devreme.
3. Când vă configurați site-ul WordPress, utilizați acreditări puternice, unice și complexe ale bazei de date. Aceasta include utilizarea unui nume de utilizator și o parolă puternice pentru baza de date.
4. Adăugați mai multă protecție fișierului wp-config.php adăugând următoarele reguli în fișierul .htaccess al site-ului dvs.

 <files wp-config.php> order allow,deny deny from all </files>

Aceste reguli pot interzice accesul la fișier pentru toate adresele IP.

Dezactivați execuția fișierelor PHP în anumite directoare WordPress

De asemenea, puteți îmbunătăți securitatea site-ului dvs. WordPress prin dezactivarea execuției fișierelor PHP în directoare specifice. Acest lucru ajută la prevenirea executării sau rulării fișierelor PHP din acele directoare pe site-ul dvs. web.

Pentru a dezactiva execuția fișierului PHP, modificați fișierul .htaccess din directoarele țintă, adesea acolo unde se află conținutul generat de utilizatori, cum ar fi directorul wp-content/uploads .

Puteți face acest lucru deschizând fișierul .htaccess într-un editor de text și adăugând următoarele rânduri:

 <Files *.php> deny from all </Files>

Apoi, salvați acest fișier ca .htaccess și încărcați-l în folderele /wp-content/uploads/ de pe site-ul dvs. folosind un client FTP sau un Manager de fișiere.

Aceste linii indică serverului să interzică accesul la orice fișier cu extensie .php din directorul specificat.

Alternativ, puteți face acest lucru cu 1 clic folosind caracteristica Hardening din pluginul Sucuri menționat mai sus.

2.4 Măsuri suplimentare de securitate

Permiteți-ne să discutăm despre măsurile de securitate suplimentare pe care le puteți lua pentru a securiza un site WordPress în continuare.

Deconectați automat utilizatorii inactivi în WordPress

Atunci când utilizatorii rămân autentificați, dar inactivi pentru o anumită perioadă, există un risc de acces neautorizat sau de modificare a contului.

Deci, va trebui să vă deconectați utilizatorii inactivi pentru a atenua această vulnerabilitate de securitate.

Pentru a face acest lucru, va trebui să instalați și să activați pluginul Inactive Logout. După activare, accesați Setări → Deconectare inactivă pentru a configura setările pluginului.

Prin deconectarea automată a utilizatorilor inactiv, reduceți riscul ca sesiunile acestora să fie deturnate sau ca modificări neautorizate să fie aduse conturilor lor.

Acest lucru este deosebit de important pentru site-urile web care gestionează informații sensibile sau au conturi de utilizator cu privilegii administrative.

Ascundeți versiunea WordPress

Afișarea publică a versiunii WordPress poate facilita atacatorilor să vizeze vulnerabilitățile asociate cu acea versiune WordPress specifică.

Pentru a ascunde versiunea WordPress, modificați fișierul functions.php al temei sau utilizați un plugin de securitate.

Există câteva metode diferite disponibile, dar vă recomandăm să consultați ghidul nostru despre cum să ascundeți versiunea WordPress pentru instrucțiuni detaliate.

Ascundeți numele temei site-ului dvs. WordPress

Când atacatorii pot identifica cu ușurință tema WordPress pe care o utilizați pe site-ul dvs. web, devine mai ușor pentru ei să exploateze orice vulnerabilități cunoscute asociate cu tema respectivă.

Prin ascunderea numelui temei, atacatorii vor fi mai dificil să culeagă informații despre configurarea site-ului dvs. și să exploateze eventualele puncte slabe. Acest lucru adaugă un strat suplimentar de securitate site-ului dvs. WordPress.

Pentru a ascunde numele temei site-ului dvs., urmați ghidul nostru pas cu pas despre cum să ascundeți numele unei teme WordPress.

Dezactivați editarea fișierelor în tabloul de bord WordPress

WordPress are un editor de cod încorporat care vă permite să editați tema și fișierele plugin din zona dvs. de administrare WordPress.

Dacă un hacker obține acces neautorizat la tabloul de bord WordPress, acesta poate încerca să modifice anumite fișiere prin injectarea de cod rău intenționat.

Prin urmare, vă sfătuim să dezactivați funcția, deoarece poate reprezenta o amenințare pentru securitate. Pentru a face acest lucru, va trebui să adăugați următorul cod în fișierul wp-config.php al site-ului dvs.

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Odată ce această modificare este implementată, utilizatorii cu acces de administrator nu mai pot accesa tema și editorul de pluginuri din panoul de administrare WordPress.

Dar chiar și după dezactivarea acestei editări a fișierelor, puteți în continuare să faceți modificări temei și fișierelor plugin, accesându-le prin FTP sau File Manager.

Schimbați prefixul implicit al tabelului bazei de date

În mod implicit, WordPress folosește prefixul „wp_” pentru tabelele bazei de date, ceea ce poate face mai ușor pentru atacatori să identifice și să vizeze site-ul dvs.

Pentru a spori securitatea, luați în considerare schimbarea prefixului tabelului, făcându-l mai dificil pentru potențiale exploit-uri.

Ajustarea prefixului implică modificarea fișierului wp-config.php și phpMyAdmin. Acest proces manual prezintă riscul de a vă distruge site-ul dacă nu este configurat corect.

Astfel, vă recomandăm să utilizați metoda pluginului.

Deci, instalați și activați pluginul Brozzme DB Prefix & Tools Addons. După activare, navigați la Instrumente → PREFIX DB.

Schimbați prefixul tabelului bazei de date din plugin într-o combinație unică și mai puțin previzibilă de litere, cifre și un caracter de subliniere. Evitați caracterele speciale sau spațiile.

Înainte de a face modificări, faceți o copie de rezervă a bazei de date a site-ului dvs. Asigurați-vă că wp-config.php poate fi scris pe serverul dvs. și verificați dacă drepturile MySQL ALTER sunt activate pentru a evita potențialele probleme.

Această abordare prudentă asigură o tranziție mai lină, cu un risc minim pentru funcționalitatea site-ului dvs.

După ce ați făcut ajustările necesare, salvați modificările făcând clic pe butonul Modificare prefix DB .

Dezactivați XML-RPC în WordPress

XML-RPC este o caracteristică WordPress care facilitează conexiunea între site-ul dvs. și aplicațiile web sau mobile. A fost activat automat începând cu WordPress 3.5.

Cu toate acestea, poate servi și ca un instrument potențial pentru amplificarea atacurilor cu forță brută sau DDoS pe site-ul dvs.

Cu XML-RPC activat, un hacker poate folosi o singură funcție pentru a face mai multe încercări de conectare cu mii de parole, spre deosebire de fără ea, unde ar fi necesare încercări separate pentru fiecare parolă. Acest lucru prezintă un risc semnificativ de securitate.

Pentru a evita acest risc, este recomandabil să dezactivați XML-RPC dacă nu îl utilizați în mod activ, adăugând cod în fișierul .htaccess al site-ului dvs.

Accesați fișierele site-ului dvs. folosind un client FTP sau panoul de control al găzduirii, localizați fișierul .htaccess în directorul rădăcină și adăugați următorul cod:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

Dar dacă preferați să nu utilizați această metodă, puteți utiliza un plugin de securitate WordPress precum Simple Disable XML-RPC.

Instalați și activați pluginul, navigați la Dezactivare simplă XML-RPC după activare, bifați opțiunea Dezactivare XML-RPC și salvați modificările.

Dacă utilizați firewall-ul aplicației web menționat mai devreme, atunci firewall-ul se poate ocupa de acest lucru.

Dezactivați Hotlinking

Dezactivarea hotlinking-ului este o măsură de securitate care ajută la protejarea lățimii de bandă a site-ului dvs. și împiedică alte persoane să conecteze direct la imaginile site-ului dvs. și la alte fișiere media.

Hotlinkingul se referă la utilizarea imaginilor sau a URL-urilor media găzduite pe site-ul dvs. pe alte site-uri web, folosind resursele serverului dvs. fără permisiunea dvs.

Pentru a dezactiva cu ușurință hotlinkingul, instalați și activați pluginul WordPress All-In-One Security (AIOS).

Odată activat, accesați WP Security → Filesystem Security și alegeți fila File protection . Derulați în jos și porniți secțiunea Preveniți legătura rapidă a imaginilor , așa cum se arată mai jos.

Nu uitați să vă salvați setările.

Dezactivați indexarea și navigarea în directoare

Dezactivarea indexării directoarelor și a navigării este o măsură de securitate importantă care împiedică accesul neautorizat la conținutul directoarelor site-ului dvs. web.

În mod implicit, unele servere web permit indexarea directoarelor, ceea ce înseamnă că dacă nu este prezent niciun fișier index (cum ar fi index.html sau index.php) într-un director, serverul va afișa o listă de fișiere și foldere din acel director.

Acest lucru poate expune informații sensibile și poate face mai ușor pentru atacatori identificarea vulnerabilităților.

Pentru a preveni accesul neautorizat la fișierele dvs., copierea imaginilor și dezvăluirea structurii directoarelor, este recomandat să dezactivați indexarea și navigarea în directoare.

Accesați fișierele site-ului dvs. printr-un client FTP sau printr-un panou de control de găzduire. În directorul rădăcină al instalației dvs. WordPress, localizați fișierul .HTACCESS.

Deschideți fișierul .HTACCESS într -un editor de text și adăugați următorul cod la sfârșit:

 # Disable Directory Indexing and Browsing Options -Indexes

Salvați modificările în fișierul .HTACCESS și încărcați -l înapoi pe serverul dvs., înlocuind fișierul existent, dacă este necesar.

Folosiți anteturile de securitate

Anteturile de securitate instruiesc browserul să gestioneze anumite aspecte ale site -ului dvs. web, oferind o protecție suplimentară împotriva vulnerabilităților comune de securitate.

Iată câteva anteturi comune de securitate și beneficiile acestora:

• Antetul X-XSS-Protection blochează injecții de script rău intenționate pentru a preveni atacurile de scripturi încrucișate (XSS).
• Antetul de opțiuni de tip X-Content împiedică vulnerabilitățile de securitate cauzate de adulmecarea de tip mime.
• Antetul strict-transport-securitate (HSTS) asigură conexiuni sigure prin aplicarea HTTP-urilor.
• Antetul de politică de securitate a conținutului (CSP) permite stabilirea politicilor de securitate pentru a proteja împotriva diverselor atacuri.

Așadar, pentru a implementa aceste anteturi de securitate pe site -ul dvs. WordPress, va trebui să instalați și să activați pluginul generatorului de antet de securitate.

După instalare, navigați la secțiunea anteturilor de securitate . Acolo puteți face timp și configurați pluginul la preferința dvs.

Atunci când implementați anteturi de securitate, este esențial să vă testați site -ul web pentru a vă asigura că nu intră în conflict cu funcționalități existente, deoarece tind să spargă site -urile web.

De asemenea, puteți utiliza instrumente online precum SecurityHeaders.com pentru a verifica eficacitatea și implementarea corectă a anteturilor dvs. de securitate.

Dacă utilizați pluginuri de securitate precum „All-in-One Security (AIOS)” sau „WordFence”, puteți configura cu ușurință anteturile de securitate ale site-ului dvs. folosind opțiunile lor, eliminând necesitatea pluginului anterior.

3 Concluzie

Securizarea site -ului dvs. WordPress este crucială pentru a -l proteja de potențialele amenințări și vulnerabilități.

Astfel, instalarea unui plugin de securitate robust, cum ar fi „All-in-One Security (AIOS)” poate fi utilă, deoarece oferă o gamă largă de caracteristici care cuprinde majoritatea măsurilor de securitate discutate în acest post.

Cu toate acestea, doar instalarea unui plugin de securitate nu este suficientă. Trebuie să faceți timp pentru a examina toate opțiunile disponibile și pentru a personaliza setările pluginului pentru a se potrivi nevoilor dvs.

Dar, dacă aveți cerințe de securitate unice care nu sunt acoperite de plugin, luați în considerare instalarea de pluginuri suplimentare sau utilizarea codurilor personalizate pentru a răspunde acestor nevoi.

Este întotdeauna o practică bună să faceți o copie de siguranță a site -ului dvs. web înainte de a face modificări de cod sau de a activa noi pluginuri pentru a atenua riscurile.

În plus, actualizarea în mod regulat a pluginurilor WordPress, revizuirea notificărilor sau rezultatelor și rămâne la curent cu cele mai recente știri de securitate și cele mai bune practici poate reduce semnificativ riscul unei încălcări de securitate.

Această postare v -a ajutat în asigurarea site -ului dvs. WordPress? Dacă este, nu ezitați să vă împărtășiți gândurile prin tweeting @Rankmathseo.