9+ lucruri de facut pentru o securitate mai buna a siteului tau WordPress

Distribuie Articolul

9+ lucruri de facut pentru o securitate mai buna a siteului tau WordPress

Site-urile create prin platforma WordPress (fie site One-Page sau Site cu mai multe pagini) pot fi vulnerabile atacurilor cibernetice sau virusilor, uneori se afla chiar in pericol mai mare decat site-urile custom.

Conform Sucuri, in 2018 WordPress a fost tinta a 90% din atacurile hackerilor la nivelul site-urilor care folosesc un sistem de Content Management System (CMS).

Mai mult de decat atat. WordPress fiind cel mai folosit sistem de CMS este si cel mai mult expus atacurilor, ajungand la o medie de 90.000 de atacuri pe minut, conform agenției Arishi.

Ca o privire de ansamblu, daca ne uitam la studiul realizat de WPScan.org putem identifica urmatoarea distributie:

  • 52% de vulnerabilitatile site-urilor WordPress provin de la plung-urile instalate;
  • 37% au legatura cu baza WordPress;
  • 11% au legatura cu temele folosite in site.

In 2020, conform Cert.ro citat de Forbes Romania: „România înregistrează între 200.000 şi 800.000 de atacuri cibernetice pe zi”.

In 2021, acest gen de activitate continua, chiar la nivelul unor companii mari, precum, Romarg, care este victima unor atacuri de tip phishing de la inceputul anului.

Exista module care pot fi sparte de catre persoane rau intentionate (aka hackeri) si asa ei pot avea acces la multe date din spatele site-ului tau..

Atat dezvoltatorii platformei WordPress, cat si cei ai modulelor au grija ca asa ceva sa nu se intample, prin actualizari ale protocoalelor, fisierelor vulnerabile, bazelor de date, s.a.

Mai mult decat atat, exista si alte moduri prin care un site devine vulnerabil accesarilor de tip hack, fie el WordPress sau custom, iar asta tine de echipa care a creat site-ul, ca asa ceva sa nu se intample.

In 2023 au fost identificate 55 de pluginuri cu probleme de securitate, care au fost rezolvate prin actualizarile imediat urmatoare, dar si 23 de pluginuri care nu sia- rezvolat vulnerabilitatile identificate.

Din acest motiv, actualizarile la zi si mentenanta ale tuturor componentelor dintr-un site reprezinta 2 procese atat de importante, incat pot face diferenta intre succes si esec pentru orice afacere.

Actualizari regulate: WordPress, Tema si Module

Cum spuneam la inceputul acestui articul, trebuie sa ai in vedere ca site-ul tau WordPress sa fie la zi cu toate modulele (plugins), inclusiv temele care vin in modul implicit, cat si a temei active.

Dezvoltatorii de module fac regulat statistici despre vulnerabilitatile aplicatiilor lor, cerand recenzii de la utilizatori si punand la dispozitie adrese de mail sau chiar numere de telefon la care poti suna sa declari o vulnerabilitate a modulului.

Foarte importat pentru webdesignerii care creaza site-uri in platforma WordPress, este sa foloseasca teme WordPress foarte populare (teme care au foarte multe descarcari).

Temele populare au foarte multi utilizatori care implementeaza tema in diferite contexte si pot intampina evemtuale probleme, care daca sunt semnalate corespunzator, vor fi rezolvata la urmatoarea actualizare.

O tema buna ar trebui sa aiba actualizari cel putin o data pe luna. Deci daca tema pe care o ai nu are nicio actualizare de mai mult de 6 luni, poti spune ca este vulnerabila, iar site-ul tau nu mai este sigur.

Actualizarile regulate te ajuta din foarte multe puncte de vedere: securitate, mentenanta, Usability, SEO etc. Un site neactualizat neintretinut nu poate fi un site sigur

Solicita firmei de gazduire actualizarea modulului php si a bazei de date si cateva setari suplimentare

WordPress este bazat pe limbajul de programare Php, iar dezvoltatorii acestui program (open-source) fac si ei actualizari pe care va trebui sa le implementezi in propriu site.

Poti face tu trecerea la ultima versiune de php daca esti familiarizat cu interfata Cpanel. Dar cel mai bine roaga-i pe cei de la firma de gazduire sa faca actualizarile atat pentru php cat si pentru bazele de date.

Setari suplimentare:

  • Dezactiveaza  XML-RPC;
  • Limit Login attempts din server sau prin plugin;
  • Alege cu atentie firma de gazduire. Cat platesti, atata primesti. O gazduire ieftina inseamna ca site-ul tau este pe un server neactualizat, neoptimizat;
  • Anteturile de securitate (HSTS);
  • Ascunde versiunea WordPress;
  • Elimina accesul la editarea fisierelor din WordPress Dashboard;
  • Verifica cu atentie permisiile la nivel de file server;
  • Nu accesa administrarea site-ului de pe retele publice de internet.

Backup-uri site

Prin aceasta metoda iti poti salva site-ul in cazul in care a fost expus riscului si te-ai trezit cu el complet nefunctional – „jos”.

E foarte bine ca inaintea oricarei actualizari sa iti pregatesti si un backup. Unele actualizari pot duce la erori ale site-ului, iar printr-un backup realizat recent vei putea repune site-ul pe picioare foarte rapid.

Exista mai multe tipuri de backup din care poti alege:

Backup din Cpanel

Aceasta interfata de management a gazduirii iti pune la dispozitie un instrument de backup & restore.

Contactea-za echipa care se ocupa de gazduirea site-ului tau si solicita-le sa te ajute cu un backup, asta daca nu te descurci sa-l faci tu singur.

Nu este greu sa faci backup-ul in sine, este mai complicat atunci cand trebuie sa instalezi efectiv backup-ul.

In astfel de situatii, ar fi bine sa apelezi la un specialist, pentru a evita aparitia unor erori pe care prin interfata Cpanel, nu le poti rezolva la nivelul tau de acces.

Backup prin FTP

Prin aceasta metoda pe care eu o recomand intotdeauna, iti poti salva fisierele local sau in cloud, fara prea mult efort si batai de cap.

Trebuie doar sa  ai o conexiune buna de internet, iar pachetul tau de gazduire sa nu aiba limita de descarcare (download), cum au unele pachete standard.

Mare grija: aceasta metoda nu iti salveaza si baza de date a WordPress-ului.

Pentru aceasta trebuie sa folosesti interfata Cpanel si sa iti salvezi separat bazele de date, local.

Backup prin module

Un mod uzual pentru cei care folosesc platforma WordPress si foarte eficient.

Sunt foarte multe module care iti fac backup (BackupBuddy, UpDraftPlus si VaultPress), dar eu o sa ma axez, doar pe modulul Duplicator.

Acest modul iti creaza un backup atat al fisierelor cat si al bazei de date WordPress, iar procesul de „restore” (instalare a backup-ului) este usor si relativ rapid.

El va crea un fisier in format *.zip si un fisier in format *.php pe care va trebui sa le descarci si sa le urci inapoi atunci cand e nevoie de restore.

Au creat o interfata de instalare a backup-ului foarte user-friendly si la care va trebui doar sa ii spui care va fi calea bazelor de date noi.

Aceasta metoda este foarte utila si atunci cand vrei sa muti un site de pe o gazduire pe alta.

Asadar, nu uita ca inainte de orice actualizare sa-ti faci un backup al site-ului tau folosind una dintre cele 3 metode.

Sterge temele si modulele nefolosite

Temele, chiar daca nu sunt active, pot fi vulnerabile atacurilor, de aceea daca nu ai nevoie de ele, nu ai de ce sa le lasi instalate.

Atentie daca in temele pe care vrei sa le stergi au fost create elemente, toate aceste elemente vor disparea si pot chiar apare erori destul de complicate, dupa stergere,

Solutia aici este sa realizezi un backup si sa stergi, rand pe rand fiecare tema inactiva, urmarind ce se intampla cu site-ul. Elementele care au disparut trebuie create folosind optiunile temei ramasa activa sau/si modulele acitve sau de ce nu, inclusiv folosind module noi.

Atacurile de tip hack pot fi, la radul lor de mai multe tipuri, iar unul dintre ele este acela de a accesa fisierele temelor care nu sunt active, dar care au scrise locatiile bazelor de date, iar de aici infernul.

La fel ca la teme si modulele pot fi „sparte” pentru a accesa baza de date sau fisierele site-ului. Asigura-te ca nu ai module care nu sunt active, iar cele active sa fie actualizate la ultima versiune.

Certificatul SSL

Una dintre cele mai importante componente ale afacerii online este crearea unui mediu de incredere in care potentialii clienti se simt increzatori sa realizeze orice tip de tranzactie.

Certificatele SSL creeaza o baza de incredere prin stabilirea unei conexiuni sigure.

Pentru a le asigura vizitatorilor conexiunea lor sigura, browserele ofera indicii vizuale speciale pe care le numim indicatori EV – orice lucru de la un lacat verde la o bara URL marcata.

Certificatele SSL au o pereche de chei: o cheie publica si una privata. Acestea functioneaza impreuna pentru a stabili o conexiune criptata. Certificatul contine si ceea ce se numeste „subiect”, care este identitatea proprietarului certificatului / site-ului web.

Unele dintre companiile de gazduire din Romania nu au acest certificat securizat valabil pentru orice pachet, asa ca asigura-te ca cei de la gazduirea site-ului au activat acest serviciu pentru site-ul tau.

Mai mult decat atat, incepand cu anul trecut (2019), certificatele SSL au devenit un criteriu SEO On Page, iar browserele te avertizeaza ca urmeaza sa accesezi un site nesecurizat ceea ca va face multi utilizatori sa renunte..

Posibilitatea de a avea acest serviciu activ si functional ar trebu sa fie un „deal-breaker”, daca compania actuala nu te ajuta, schimba firma de gazduire cu care lucrezi.

Mail

O conexiune SSL ajuta foarte mult in trimiterea mailurilor in siguranta, astfel incat doar destinatarul de drept sa poata deschide acel mail.

Ca sa intelegi cum sta treaba – un mail pe care vrei sa il trimiti prin intermediul unei conexiuni nesecurizate, se transmite in format text (ceea ce este mai mult decat vulnerabil – oricine care are minime cunostinte despre hack poate accesa aceste date).

In cazul unui mail transmis printr-o conexiune securizata, pleaca impreuna cu cheia de securizare catre Domain Serverul de destinatie si doar el va putea sa il descifreze, astfel incat destinatarul sa il poata citi.

In aceste conditii fi sigur ca toate informatiile pe care le vei transmite colegilor, partenerilor sau clientilor tai sunt securizate, asta insemnand atat paginile pe care le acceseaza, cat si mailurile care ajung la acestia.

Uite aici pas cu pas cum sa-ti instalezi mail-ul pe telefon pentru a putea comunica sigur, eficient si on-the-go.

Plugin dedicat pentru securitatea site-ului

O alta metoda pe care e bine sa o implementezi pe site-ul tau WordPress este sa instalezi unul dintre aceste module de securitate suplimentara.

Exista foarte multe astfel de solutii cum ar fi:

  1. Wordfence;
  2. Sucuri;
  3. All In One WP Security & Firewall.

Acceseaza setarile modulului si urmeaza instructiunile. Nu este greu, trebuie doar sa fii familiarizat cu regulile de baza ale unui site WordPress si sa stii engleza.

Poti chiar accesa tutorialele de instalare din cadrul site-ului oficial al modulului.

Vei primi notificari frecvente atunci cand un user se va loga in platforma WordPress a site-ului tau si deci vei tine o evidenta clara a accesarilor din spate.

De asemenea, vei primi rapoarte de accesare tip hack si cate adrese ip a blocat modulul.

Captcha pentru Formulare de Contact

Captcha rezolva de asemenea multe accesari necontrolate ale asa-zisilor utilizatori fictivi. Multi hackeri folosesc programe A.I. care acceseaza formularele de contact pentru a trimite link-uri cu virusi si alte metode de tip hack.

Nu trebuie decat sa descarci modulul Contact Form 7 Captcha,  sa adaugi cheia de recaptcha pe care ai creat-o in platforma google (aici gasesti linkul de creare Captcha), iar apoi adaugi in modulul Contact form7, shortcode-ul Recaptcha.

Te sfatuiesc sa creezi cheie de tipul reCaptcha v2 – nu da eroare  pe unele servere ca versiunea 3.

Captcha pentru login

Sunt module care adauga recaptcha chiar in pagina de login si care adauga un plus de securitate pe siteul tau. Acest plugin pe care ti-l propun face acest lucru: Advanced noCaptcha & invisible captcha Settings

In setari adaugi cheia recaptcha de care ziceam si mai sus, iar putin mai jos gasesti sectiunea Enabled Forms unde bifezi/marchezi toate casutele.

Format Parola, schimba des parolele

Unul dintre atacurile tip hack este de a pune un program hack (bot) care sa forteze accesarea paginii login a site-ului (se numeste brute-force), prin care el va folosi useri si parole diverse pana cand va reusi sa gaseasca combinatia perfecta.

In momentul in care instalezi platforma WordPress, obisnuieste-te sa folosesi nume de useri mai putin uzuale (evita sa folosesti ca username, admin, adminstrator, admin-numesite, numesite, sau numele tau), tocmai pentru a putea fi mai greu de accesat.

De asemenea foloseste instrumentul de creare parole, al platformei WordPress, cel care genereaza parole, iar aceste parole sa fie cat mai lungi si sa foloseasca cat mai multe caractere din tastatura querty, care sa includa atat litere mari cat si litere mici, inclusiv numere  (ex: @#S4FS)#S+>1Mdsd24a).

Creaza un fisier special de parole si utilizatori, pe care sa il urci undeva unde poate fi accesat de pe mai multe dispozitive, cum ar fi google drive, iar acest fisier sa fie accesat doar cu parola, la randul lui. Asa vei avea o siguranta mai mare si acces rapid la parolele site-urilor tale fara sa uiti parole.

 

MFA multifactor autentification

Un alt mod de a-ti securiza site-ul este sa adaugi o autentificare in 2 pasi. Asta inseamna ca ori de cate ori iti vei introduce userul, sa fii obligat sa adaugi un cod pe care il vei primi pe mail, sau un cod pe care il vei genera dinainte, cum este caracteristica de la WordFence.

Bine, exista si modalitati de a adauga autentificarea in 2 pasi in care poti primi sms, dar asta este o caracteristica custom si e destul de costisitoare.

Vom vorbi aici despre setarea pe care poti sa o faci in modulul WordFence.

In meniul acestui modul exista categoria „Login Security” unde ti se explica pasii pe care poti sa ii parcurgi pentru a-ti seta site-ul pentru modul de autentificare in 2 pasi.

Poti seta modulul astfel incat doar adminul sa se autentifice normal, restul urmand sa se autentifice in 2 pasi (editorul, autorii, userii, s.a.)

Mai multe detalii gasesti si pe pagina dezvoltatorului modulului, unde ti se va explica pas cu pas tot ce ai de facut pentru activarea autentificarii in 2 pasi.

Schimba linkul de login user

WPS Hide Login este unul dintre cele mai bune module care creeaza si ascunde link-ul de logare in platforma WordPress a site-ului tau.

Poti crea un path custom (ex: /costin in loc de /wp-admin) care va fi ascuns in cautarile de tip hack si practic nu va putea fi accesat decat de cel care stie link-ul de logare.

Dupa ce instalezi si activezi modulul in platforma WordPress, intri la Setari >> Generale, vei gasi o sectiune sub toate setarile generale, care apartine modulului, iar acolo poti trece link-ul final de logare, apoi sub el adaugi ce redirect sa apara daca cineva acceseaza pagina /wp-admin (noi am pus in modul implicit pagina 404, dar poti adauga inclusiv pagina Acasa).

Conecteaza-te la site prin VPN

Unul dintre cele mai eficiente modalitati de a fi sigur ca doar tu accesezi site-ul si nimeni altcineva, este acela de a seta un ip si de pe care se poate accesa link-ul de logare.

Ce este un VPN?

Un VPN sau retea privata virtuala iti permite sa creezi o conexiune sigura la o alta retea de pe Internet. VPN-urile pot fi utilizate pentru a accesa site-urile web cu regim restrictionat, pentru a iti proteja activitatea de navigare pe Wi-Fi public si multe altele.

In aceste zile VPN-urile sunt foarte populare, dar nu din motivele pentru care au fost create initial. Initial au fost doar o modalitate de a conecta retelele de afaceri impreuna in siguranta pe internet sau va permit sa accesati o retea de afaceri de acasa.

Majoritatea sistemelor de operare au suport VPN integrat.

Astfel vei putea accesa, prin acelasi ip de net, site-ul tau, fie ca esti pe reteaua initiala, fie ca esti in vacanta si ai nevoie sa faci modificari in site.

Trebuie doar sa setezi ce ip vei folosi pentru logarea in site si sa iti creezi aceasta retea privata virtuala.

Te pot ajuta usor cei de la gazduire sa faci aceasta setare. Este posibil sa fi taxat suplimentar, dar merita efortul financiar pentru asemenea cazuri.

Acestea fiind spuse, sfatul meu este sa folosesti toate metodele enumerate mai sus, impreuna, pentru securitatea site-ului WordPress si siguranta clientilor tai.

Nu face rabat de la nimic pentru siguranta – vei avea o relatie bazata pe incredere, in acest fel, cu clientii tai.

Daca pare multa munca degeaba, doar gandeste-te cum ar fi sa ramai fara site si fara toate informatiile din el, atunci munca preventiva n-o sa mai para asa grea.

Unele dintre setari le poate rezolva compania de gazduire si/sau agentia web cu care lucrezi.

Noi te putem ajuta cu amandoua, fara a mai fi necesara intermedierea intre cele 2 companii, daca ai site-ul gazduit la WebHipsters.

Preventie sau interventie? Tu cum alegi sa procedezi?

Daca nu te descurci cu implementarea acestor sfaturi

sau vrei sa apelezi la un expert pentru a le implementa,

contacteaza-ne si le rezolvam pe toate impreuna

Compatibilitatea modulelor intre ele si cu tema

Verifica periodic compatibilitatea modulelor si temelor din site-ul tau cu versiunile de PHP mai noi. Pentru aceasta exista, de asemenea, un modul (PHP Compatibility Checker), care dupa ce l-ai instalat, va rula o verificare de compatilbilitate, iar daca va descoperi erori de compatibilitate, vei primi atentionari, dar si modul de reparare al acestora.

Daca un modul nu mai este compatibil cu versiunile noi de PHP, iar dezvoltatorul nu a mai facut actualizari ale lui, acel modul devine vulnerabil atacurilor de tip “hack”.

Recomandarea noastra este, in acest caz, sa stergi modulul si sa cauti unul asemanator, luand in considerare, atat recenziile modulului nou pe care vrei sa il instalezi, ultima actualizare a modulului, cat si numarul de descarcari facute. Aceaste informatii sunt vizibile la orice modul nou pe care vrei sa il instalezi.

Suport pentru implementarea masurilor de securitate web

In cazul in care nu te descurci cu implementarea masurilor de securitate pe care ti le doresti pentru site-ul tau WordPress sau Custom, contacteaza-ne si te ajutam in cel mai scurt timp.

Mai multe despre noi si despre ceea ce stim sa facem gasesti in sectiunea de portofoliu de proiecte in online.

Ia atitudine inainte sa se intample ceva iremediabil! Respecta-ti clientii, respecta-ti afacerea!

Securitatea unui business in online nu se rezuma doar la securitatea site-ului, ci la un mod de lucru general care presupune mai mult efiltre de securitate. Daca ai inceput digitalizarea firmei, si de exemplu, ai o parte sau toate documentele in format digital, trebuie sa te asiguri ca aceste nu vor fi accesate ne persoane neautorizate.

Acceseaza pagina de administrare a site-ului doar de pe dispozitive de incredere (laptop personal, telefon personal).

Daca ai nevoie de-o solutie de tip cloud pentru stocarea documentelor in mod securizat, contacteaza-ne si punem totul la loc sigur.

Urmareste articolele publicate pe blog-ul WebHipsters daca vrei un site securizat, captivant dar si eficient.

Lasă un răspuns