10+ lucruri de facut pentru o securitate mai buna a siteului tau WordPress

securitate site Wordpress

Distribuie Articolul

10+ lucruri de facut pentru o securitate mai buna a siteului tau WordPress

Site-urile create prin platforma WordPress (fie site One-Page sau Site cu mai multe pagini) pot fi vulnerabile atacurilor hack sau virusilor, uneori se afla chiar in pericol mai mare decat site-urile custom.

Exista module care pot fi sparte de catre hackeri si asa ei pot avea acces la multe date din spatele site-ului tau.

Atat dezvoltatorii platformei WordPress, cat si cei ai modulelor au grija ca asa ceva sa nu se intample, prin actualizari ale protocoalelor, fisierelor vulnerabile, bazelor de date, s.a.

Mai mult decat atat, exista si alte moduri prin care un site devine vulnerabil accesarilor de tip hack, fie el WordPress sau custom, iar asta tine de echipa care a creat site-ul, ca asa ceva sa nu se intample.

Urmareste sfaturile noastre si pune in aplicare tot ce-ti este usor si la indemana pentru a-ti proteja site-ul.

Actualizari regulate

Cum spuneam la inceputul acestui articul, trebuie sa ai in vedere ca site-ul tau WordPress sa fie la zi cu toate modulele (plug-ins), inclusiv temele care vin in modul implicit, cat si a temei active.

Dezvoltatorii de module fac regulat statistici despre vulnerabilitatile aplicatiilor lor, cerand recenzii de la utilizatori si punand la dispozitie adrese de mail sau chiar numere de telefon la care poti suna sa declari o vulnerabilitate a modulului.

Foarte importat pentru webdesignerii care creaza site-uri in platforma WordPress, este sa foloseasca teme WordPress foarte populare (teme care au foarte multe descarcari). Temele populare au foarte multi utilizatori care implementeaza tema in diferite contexte si pot intampina evemtuale probleme, care daca sunt semnalate corespunzator, vor fi rezolvata la urmatoarea actualizare.

O tema buna ar trebui sa aiba actualizari cel putin o data pe luna. Deci daca tema pe care o ai nu are nicio actualizare de mai mult de 6 luni, poti spune ca este vulnerabila, iar site-ul tau nu mai este sigur.

Solicita firmei de gazduire actualizarea modulului php si a bazei de date

WordPress este bazat pe limbajul de programare Php, iar dezvoltatorii acestui program (open-source) fac si ei actualizari pe care va trebui sa le implementezi in propriu site.

Poti face tu trecerea la ultima versiune de php daca esti familiarizat cu interfata Cpanel. Dar cel mai bine roaga-i pe cei de la firma de gazduire sa faca actualizarile atat pentru php cat si pentru bazele de date.

Backup-uri

Prin aceasta metoda iti poti salva site-ul in cazul in care a fost expus riscului si te-ai trezit cu el complet nefunctional – „jos”.

E foarte bine ca inaintea oricarei actualizari sa iti pregatesti si un backup. Unele actualizari pot duce la erori ale site-ului, iar printr-un backup realizat recent vei putea repune site-ul pe picioare foarte rapid.

Exista mai multe tipuri de backup din care poti alege:

A.     Cpanel

Aceasta interfata de management a gazduirii iti pune la dispozitie un instrument de backup & restore.

Contactea-za echipa care se ocupa de gazduirea site-ului tau si solicita-le sa te ajute cu un backup, asta daca nu te descurci sa-l faci tu singur.

Nu este greu sa faci backup-ul in sine, este mai complicat atunci cand trebuie sa instalezi efectiv backup-ul.

In astfel de situatii, ar fi bine sa apelezi la un specialist, pentru a evita aparitia unor erori pe care prin interfata Cpanel, nu le poti rezolva la nivelul tau de acces.

B.     FTP

Prin aceasta metoda pe care eu o recomand intotdeauna, iti poti salva fisierele local sau in cloud, fara prea mult efort si batai de cap.

Trebuie doar sa  ai o conexiune buna de internet, iar pachetul tau de gazduire sa nu aiba limita de descarcare (download), cum au unele pachete standard.

Mare grija: aceasta metoda nu iti salveaza si baza de date a WordPress-ului.

Pentru aceasta trebuie sa folosesti interfata Cpanel si sa iti salvezi separat bazele de date, local.

C.     Backup prin module

Un mod uzual pentru cei care folosesc platforma WordPress si foarte eficient. Sunt foarte multe module care iti fac backup, dar eu o sa ma axez doar pe modulul Duplicator.

Acest modul iti creaza un backup atat al fisierelor cat si al bazei de date WordPress, iar procesul de „restore” (instalare a backup-ului) este usor si relativ rapid.

El va crea un fisier in format *.zip si un fisier in format *.php pe care va trebui sa le descarci si sa le urci inapoi atunci cand e nevoie de restore.

Au creat o interfata de instalare a backup-ului foarte user-friendly si la care va trebui doar sa ii spui care va fi calea bazelor de date noi.

Aceasta metoda este foarte utila si atunci cand vrei sa muti un site de pe o gazduire pe alta.

Asadar, nu uita ca inainte de orice actualizare sa-ti faci un backup al site-ului tau folosind una dintre cele 3 metode.

Sterge temele si modulele nefolosite

Temele, chiar daca nu sunt active, pot fi vulnerabile atacurilor, de aceea daca nu ai nevoie de ele, nu ai de ce sa le lasi instalate.

Atentie daca in temele pe care vrei sa le stergi au fost create elemente, toate aceste elemente vor disparea si pot chiar apare erori destul de complicate, dupa stergere,

Solutia aici este sa realizezi un backup si sa stergi, rand pe rand fiecare tema inactiva, urmarind ce se intampla cu site-ul. Elementele care au disparut trebuie create folosind optiunile temei ramasa activa sau/si modulele acitve sau de ce nu, inclusiv folosind module noi.

Atacurile de tip hack pot fi, la radul lor de mai multe tipuri, iar unul dintre ele este acela de a accesa fisierele temelor care nu sunt active, dar care au scrise locatiile bazelor de date, iar de aici infernul.

La fel ca la teme si modulele pot fi „sparte” pentru a accesa baza de date sau fisierele site-ului. Asigura-te ca nu ai module care nu sunt active, iar cele active sa fie actualizate la ultima versiune.

SSL

Una dintre cele mai importante componente ale afacerii online este crearea unui mediu de incredere in care potentialii clienti se simt increzatori sa realizeze orice tip de tranzactie.

Certificatele SSL creeaza o baza de incredere prin stabilirea unei conexiuni sigure.

Pentru a le asigura vizitatorilor conexiunea lor sigura, browserele ofera indicii vizuale speciale pe care le numim indicatori EV – orice lucru de la un lacat verde la o bara URL marcata.

Certificatele SSL au o pereche de chei: o cheie publica si una privata. Acestea functioneaza impreuna pentru a stabili o conexiune criptata. Certificatul contine si ceea ce se numeste „subiect”, care este identitatea proprietarului certificatului / site-ului web.

Unele dintre companiile de gazduire din Romania nu au acest certificat securizat valabil pentru orice pachet, asa ca asigura-te ca cei de la gazduirea site-ului au activat acest serviciu pentru site-ul tau.

Mai mult decat atat, incepand cu anul trecut (2019), certificatele SSL au devenit un criteriu SEO On Page, iar browserele te avertizeaza ca urmeaza sa accesezi un site nesecurizat ceea ca va face multi utilizatori sa renunte..

Posibilitatea de a avea acest serviciu activ si functional ar trebu sa fie un “deal-breaker”, daca compania actuala nu te ajuta, schimba firma de gazduire cu care lucrezi.

Mail

O conexiune SSL ajuta foarte mult in trimiterea mailurilor in siguranta, astfel incat doar destinatarul de drept sa poata deschide acel mail.

Ca sa intelegi cum sta treaba – un mail pe care vrei sa il trimiti prin intermediul unei conexiuni nesecurizate, se transmite in format text (ceea ce este mai mult decat vulnerabil – oricine care are minime cunostinte despre hack poate accesa aceste date).

In cazul unui mail transmis printr-o conexiune securizata, pleaca impreuna cu cheia de securizare catre Domain Serverul de destinatie si doar el va putea sa il descifreze, astfel incat destinatarul sa il poata citi.

In aceste conditii fi sigur ca toate informatiile pe care le vei transmite colegilor, partenerilor sau clientilor tai sunt securizate, asta insemnand atat paginile pe care le acceseaza, cat si mailurile care ajung la acestia.

Uite aici pas cu pas cum sa-ti instalezi mail-ul pe telefon pentru a putea comunica sigur, eficient si on-the-go.

Plugin dedicat pentru securitatea site-ului

O alta metoda pe care e bine sa o implementezi pe site-ul tau WordPress este sa instalezi unul dintre aceste module de securitate suplimentara. Exista foarte multe astfel de solutii cum ar fi Wordfence sau All In One WP Security & Firewall.

Acceseaza setarile modulului si urmeaza instructiunile. Nu este greu, trebuie doar sa fii familiarizat cu regulile de baza ale unui site WordPress si sa stii engleza.

Poti chiar accesa tutorialele de instalare din cadrul site-ului oficial al modulului.

Vei primi notificari frecvente atunci cand un user se va loga in platforma WordPress a site-ului tau si deci vei tine o evidenta clara a accesarilor din spate.

De asemenea, vei primi rapoarte de accesare tip hack si cate adrese ip a blocat modulul.

Captcha pentru Formulare de Contact

Captcha rezolva de asemenea multe accesari necontrolate ale asa-zisilor utilizatori fictivi. Multi hackeri folosesc programe A.I. care acceseaza formularele de contact pentru a trimite link-uri cu virusi si alte metode de tip hack.

Nu trebuie decat sa descarci modulul Contact Form 7 Captcha,  sa adaugi cheia de recaptcha pe care ai creat-o in platforma google (aici gasesti linkul de creare Captcha), iar apoi adaugi in modulul Contact form7, shortcode-ul Recaptcha.

Te sfatuiesc sa creezi cheie de tipul reCaptcha v2 – nu da eroare  pe unele servere ca versiunea 3.

Captcha pentru login

Sunt module care adauga recaptcha chiar in pagina de login si care adauga un plus de securitate pe siteul tau. Acest plugin pe care ti-l propun face acest lucru: Advanced noCaptcha & invisible captcha Settings

In setari adaugi cheia recaptcha de care ziceam si mai sus, iar putin mai jos gasesti sectiunea Enabled Forms unde bifezi/marchezi toate casutele.

Format Parola, schimba des parolele

Unul dintre atacurile tip hack este de a pune un program hack (bot) care sa forteze accesarea paginii login a site-ului (se numeste brute-force), prin care el va folosi useri si parole diverse pana cand va reusi sa gaseasca combinatia perfecta.

In momentul in care instalezi platforma WordPress, obisnuieste-te sa folosesi nume de useri mai putin uzuale (evita sa folosesti ca username, admin, adminstrator, admin-numesite, numesite, sau numele tau), tocmai pentru a putea fi mai greu de accesat.

De asemenea foloseste instrumentul de creare parole, al platformei WordPress, cel care genereaza parole, iar aceste parole sa fie cat mai lungi si sa foloseasca cat mai multe caractere din tastatura querty, care sa includa atat litere mari cat si litere mici, inclusiv numere  (ex: @#S4FS)#S+>1Mdsd24a).

Creaza un fisier special de parole si utilizatori, pe care sa il urci undeva unde poate fi accesat de pe mai multe dispozitive, cum ar fi google drive, iar acest fisier sa fie accesat doar cu parola, la randul lui. Asa vei avea o siguranta mai mare si acces rapid la parolele site-urilor tale fara sa uiti parole.

 

Two steps Authentication

Un alt mod de a-ti securiza site-ul este sa adaugi o autentificare in 2 pasi. Asta inseamna ca ori de cate ori iti vei introduce userul, sa fii obligat sa adaugi un cod pe care il vei primi pe mail, sau un cod pe care il vei genera dinainte, cum este caracteristica de la WordFence.

Bine, exista si modalitati de a adauga autentificarea in 2 pasi in care poti primi sms, dar asta este o caracteristica custom si e destul de costisitoare.

Vom vorbi aici despre setarea pe care poti sa o faci in modulul WordFence.

In meniul acestui modul exista categoria “Login Security” unde ti se explica pasii pe care poti sa ii parcurgi pentru a-ti seta site-ul pentru modul de autentificare in 2 pasi.

Poti seta modulul astfel incat doar adminul sa se autentifice normal, restul urmand sa se autentifice in 2 pasi (editorul, autorii, userii, s.a.)

Mai multe detalii gasesti si pe pagina dezvoltatorului modulului, unde ti se va explica pas cu pas tot ce ai de facut pentru activarea autentificarii in 2 pasi.

Schimba linkul de login user

WPS Hide Login este unul dintre cele mai bune module care creeaza si ascunde link-ul de logare in platforma WordPress a site-ului tau.

Poti crea un path custom (ex: /costin in loc de /wp-admin) care va fi ascuns in cautarile de tip hack si practic nu va putea fi accesat decat de cel care stie link-ul de logare.

Dupa ce instalezi si activezi modulul in platforma WordPress, intri la Setari >> Generale, vei gasi o sectiune sub toate setarile generale, care apartine modulului, iar acolo poti trece link-ul final de logare, apoi sub el adaugi ce redirect sa apara daca cineva acceseaza pagina /wp-admin (noi am pus in modul implicit pagina 404, dar poti adauga inclusiv pagina Acasa).

VPN

Unul dintre cele mai eficiente modalitati de a fi sigur ca doar tu accesezi site-ul si nimeni altcineva, este acela de a seta un ip si de pe care se poate accesa link-ul de logare.

Ce este un VPN?

Un VPN sau retea privata virtuala iti permite sa creezi o conexiune sigura la o alta retea de pe Internet. VPN-urile pot fi utilizate pentru a accesa site-urile web cu regim restrictionat, pentru a iti proteja activitatea de navigare pe Wi-Fi public si multe altele.

In aceste zile VPN-urile sunt foarte populare, dar nu din motivele pentru care au fost create initial. Initial au fost doar o modalitate de a conecta retelele de afaceri impreuna in siguranta pe internet sau va permit sa accesati o retea de afaceri de acasa.

Majoritatea sistemelor de operare au suport VPN integrat.

Astfel vei putea accesa, prin acelasi ip de net, site-ul tau, fie ca esti pe reteaua initiala, fie ca esti in vacanta si ai nevoie sa faci modificari in site.

Trebuie doar sa setezi ce ip vei folosi pentru logarea in site si sa iti creezi aceasta retea privata virtuala.

Te pot ajuta usor cei de la gazduire sa faci aceasta setare. Este posibil sa fi taxat suplimentar, dar merita efortul financiar pentru asemenea cazuri.

Acestea fiind spuse, sfatul meu este sa folosesti toate metodele enumerate mai sus, impreuna, pentru siguranta site-ului tau si a clientilor tai.

Nu face rabat de la nimic pentru siguranta – vei avea o relatie bazata pe incredere, in acest fel, cu clientii tai.

Daca pare multa munca degeaba, doar gandeste-te cum ar fi sa ramai fara site si fara toate informatiile din el, atunci munca preventiva n-o sa mai para asa grea.

Preventie sau interventie? Tu cum alegi sa procedezi?

Protejarea continului site-ului tau

Foloseste Module care nu dau voie utilizatorului sa vada codul sursa al paginilor tale din site si nici sa folosesca continutul impotriva legilor privind drepturile de autor. Unul dintre ele este WP Content Copy Protection & No Right Click.

Acest modul nu ii da voie utilizatorului care acceseaza paginile site-ului tau web sa vada codul sursa prin folosirea scurtaturii Right-Click >> View Page Source sau Right-Click >> Inspect element.

In multe cazuri, cei rau intentionati folosesc aceste scurtaturi pentru a intelege constructia site-ului tau web si apoi sa foloseasca informatiile pentru a incerca o “spargere” a site-ului tau sau folosirii continutului in scopul copierii.

Setarile modulului sunt usor de personalizat, trebuie doar, sa bifezi ce nu vrei ca utilizatorul sa vada atunci cand intra pe site.

Modulul de cache

Modulele de cache sunt des folosite in optimizarea vitezei site-urilor create in platforma WordPress, prin comprimarea fisierelor care se incarca pe site atunci cand cineva il acceseaza, astfel incat site-ul sa ii returneze un numar cat mai mic de pachete la incarcare.

Aceste pachete vor fi accesibile utilizatorului intr-un mod rapid si eficient dupa ce modulul va crea (optimiza) tot ce inseamna cod sursa (html, css, javascript) si fisiere (poze, video-uri, etc), pe care le va “imbraca” in niste pachete speciale, le va salva local si le va afisa doar pe acelea.

Cum ajuta un modul de cache la securitatea site-ului?

Prin accesarea sursei paginii de care vorbeam mai sus, un hacker poate sa stabilieasca atat codul sursa al site-ului, cat si locatia exacta a fisierelor php, javascript sau css, lucru ce poate duce la accesarea acestora cu usurinta.

Modulele de cache nu fac altceva decat sa “imbrace” toate aceste resurse ale site-ului, sa le salveze intr-un folder greu de urmarit, iar incercarea de a vedea codul sursa va fi aproape imposibila.

De asemenea, multe module de cache vin si cu setari de securitate a datelor in versiunile PRO.

Daca nu te descurci cu implementarea acestor sfaturi

sau vrei sa apelezi la un expert pentru a le implementa,

contacteaza-ne si le rezolvam pe toate impreuna

Compatibilitatea modulelor

Verifica periodic compatibilitatea modulelor si temelor din site-ul tau cu versiunile de PHP mai noi. Pentru aceasta exista, de asemenea, un modul (PHP Compatibility Checker), care dupa ce l-ai instalat, va rula o verificare de compatilbilitate, iar daca va descoperi erori de compatibilitate, vei primi atentionari, dar si modul de reparare al acestora.

Daca un modul nu mai este compatibil cu versiunile noi de PHP, iar dezvoltatorul nu a mai facut actualizari ale lui, acel modul devine vulnerabil atacurilor de tip “hack”.

Recomandarea noastra este, in acest caz, sa stergi modulul si sa cauti unul asemanator, luand in considerare, atat recenziile modulului nou pe care vrei sa il instalezi, ultima actualizare a modulului, cat si numarul de descarcari facute. Aceaste informatii sunt vizibile la orice modul nou pe care vrei sa il instalezi.

Lasă un răspuns