Cum să nu vă asigurați site-ul dvs. WordPress

Cum să nu îți securizezi site-ul WordPress

Care este primul lucru pe care l-ai face atunci când vrei să îți securizezi site-ul WordPress? Aflați primele cinci plugin-uri de securitate, luați în considerare cât de accesibile sunt acestea, apoi mergeți mai departe și instalați unul. Asta a făcut, acum puteți sta pe spate și relaxați-vă, nu? Gresit!


Utilizarea unui plugin de securitate nu asigură securitatea. Securitatea nu este un lucru absolut și nimeni nu poate garanta securitatea completă. Cel mai bun lucru pe care îl putem face este să reducem riscul unui hack. Și, contrar credinței populare, proprietarul site-ului trebuie să fie implicat în păstrarea site-ului în siguranță. Să știi ce trebuie să faci și nu ar trebui să faci este semnificativ.

În timp ce există mai multe ghiduri despre ceea ce ar trebui să faceți pentru a vă păstra site-ul WordPress în siguranță, vă oferim un ghid despre ceea ce ar trebui să evitați să faceți în schimb. Veți observa că sfaturile de aici sunt în conflict cu credința generală. Dar din experiența noastră, multe sfaturi sunt depășite și oferă un fals sentiment de securitate.

Dacă problema securității WordPress vă îndemnă la fel de mult ca la noi, aruncați o privire la următoarele.

1. Nu folosiți Prea multe plugin-uri de securitate

Având în vedere gama variată de plugin-uri disponibile acolo, cu diferite seturi de funcții, este tentant să utilizăm mai multe plugin-uri de securitate WordPress. Ca să fiu sincer, este o excesivă. Să fii neliniștit de securitatea site-ului tău este normal, dar trebuie să te întrebi dacă ai nevoie de mai mult de un plugin de securitate? Care sunt caracteristicile esențiale pentru cerințele site-ului dvs.? Funcțiile vor păși degetele de la picioare?

De exemplu, poate apărea un conflict atunci când pluginurile încep să modifice fișiere precum wp-config.php sau htaccess. Plugin-urile pot juca cu ușurință cu aceste fișiere, dar nu le modifică într-un singur mod unanim. Acest lucru ar putea crea conflicte și a face site-ul dvs. lent.

Cu site-urile WordPress, lucrurile pot merge greșit din când în când. Toată lumea urăște temutul ecran alb al morții. Dacă aveți mai multe pluginuri care afectează profund site-ul dvs. web, puteți îngreuna problemele de depanare. Dacă ar fi existat un singur plugin, găsirea și remedierea cauzei erorii ar fi fost mai ușoare și mai puțin complicate.

2. Nu schimbați prefixul DB

Există mai multe moduri în care un site WordPress poate fi compromis. Hackerul poate avea acces la baza de date a unui site prin atac de injecție SQL. O vulnerabilitate într-un plugin sau o temă poate fi utilizată pentru a intra în baza de date a site-ului (motiv pentru care vă sugerăm să utilizați în schimb o Plugin de bază de date WordPress pentru a evita capcanele similare). O metodă populară de prevenire a hackerilor să intre mai adânc în site-ul dvs. este schimbarea prefixului implicit al tabelului. După cum puteți vedea în imaginea de mai jos, în WordPress, prefixul implicit al tabelului este „wp_.” WordPress vă permite să modificați prefixul tabelei (să zicem „xzy_”), astfel încât să ascundeți anumite tabele.

Prefixele bazei de date WordPress

La suprafață, aceasta pare o idee bună. Dacă hackerii nu cunosc numele tabelei, atunci nu pot prelua datele din ea. Acesta este, totuși, un raționament fals. Odată ce cineva intră în baza de date, există încă modalități de a afla tabelele. Prin urmare, schimbarea numelor prefixului nu are niciun folos. Mai mult decât atât, modificarea prefixului implicit poate duce la mai multe comportamente greșite.

Mai mult, schimbarea prefixului bazei de date midflight este dificil de implementat și poate provoca blocarea site-ului dvs. web. Acest lucru se datorează faptului că există multe schimbări care trebuie făcute pe toate nivelurile. Orice eroare în acest proces se va dovedi catastrofală pentru site-ul dvs..

3. Evitați ascunderea paginii de conectare

Întotdeauna există cineva care încearcă să intre în site-ul tău, trângând parola. În timpul atacurilor de forță brută, hackerii încearcă să se conecteze pe site-ul dvs. web folosind o combinație de nume de utilizator și parole populare. Deci, dacă ascundem pagina de conectare? Asta va ucide două păsări cu o piatră, nu? Hackerul nu va putea găsi pagina de conectare, iar sarcina pe serverul dvs. va fi redusă.

WordPress are o pagină de conectare implicită. Adresa URL a paginii arată de obicei în acest exemplu.com/wp-login.php. Un mod bine-cunoscut de a salva site-ul dvs. de la atacul de forță brută este prin ascunderea sau schimbarea paginii de conectare implicite la altceva, cum ar fi example.com/mylogin.php. Deși acest lucru pare a fi un plan nepriceput, să aflăm cât de eficientă este metoda de a păstra securitatea site-ului dvs. WordPress.

Reducerea sarcinii pe server

După ce ascundeți sau schimbați locația paginii de conectare, de fiecare dată când cineva încearcă să o deschidă, se va confrunta cu o eroare 404. Cu toate acestea, încercările de conectare sunt un proces greu. Ori de câte ori se încarcă pagina de eroare 404, mănâncă o mulțime de resurse ale serverului. Și sfârșește încetinind site-ul. Prin urmare, convingerea comună că ascunderea paginii de conectare va reduce încărcarea pe server este incorectă.

Adresa URL alternativă nu este greu de ghicit

O parte din succesul WordPress ca CMS se datorează plugin-urilor care facilitează modificările unui site web. Nu este surprinzător faptul că o modalitate populară de a ascunde o pagină de conectare a unui site este folosirea unui plugin. Aceste plugin-uri vin cu un set de adrese URL alternative de autentificare, cum ar fi xzy.com/wplogin.php, etc. Am fost instruiți să mergem doar cu setări implicite. După ce instalăm pluginul și ne schimbăm adresa URL, nu ne gândim prea mult la el. Dar există doar atât de multe adrese URL pe care le poate oferi un plugin. Nu este prea dificil să afli aceste adrese URL de conectare prestabilite. Prin urmare, utilizarea unei adrese URL alternative poate fi ineficientă în majoritatea cazurilor.

Probleme de utilizare

Frumusețea WordPress este că este ușor de utilizat. Este o platformă familiară. Pentru un site cu o multitudine de utilizatori, modificarea sau ascunderea paginii de conectare poate pune anumite probleme. De mai multe ori am întâlnit postări pe forumurile WordPress unde utilizatorii sunt blocați de pe un site din cauza unei modificări a adresei URL de conectare. În cele mai multe cazuri, modificările au fost făcute folosind un plugin, iar utilizatorii nu au fost informați despre situația care provoacă haos.

4. Nu blocați adresele IP manual

Dacă aveți un plugin de securitate instalat pe site-ul dvs., veți fi anunțat ori de câte ori cineva încearcă să se conecteze la site-ul dvs. web. Puteți pune ușor mâna pe IP trimitând acele solicitări rău intenționate și blocați-le folosind fișierul .htaccess. Este o muncă intensivă manual și nu este o practică foarte convenabilă.

Nu este user-friendly

O persoană non-tehnică care încearcă să modifice fișierele .htaccess este o rețetă pentru dezastru. Un sistem de gestionare a conținutului precum WordPress are o formatare foarte strictă. Chiar și utilizarea celor mai populare instrumente precum FTP / SFTP sunt foarte riscante. O eroare minoră sau o plasare incorectă a comenzii pot cauza blocarea site-ului.

Prea multe IP-uri de blocat

Pentru a evita intrarea pe lista neagră, hackerii folosesc adrese IP de pe tot globul. Anterior am discutat despre blocarea manuală a adreselor IP care încearcă constant să intre în site-ul dvs. Munca (așa cum am menționat anterior) necesită mult timp și efort, dar nu este exact o utilizare foarte eficientă a timpului. Dar dacă utilizați oricare dintre pluginurile de securitate WordPress de top, de exemplu, Malcare, puteți automatiza procesul de blocare. Aceste plugin-uri de securitate au grijă de toate lacune de securitate WP.

5. Ascunderea WordPress

Există o presupunere generală că ascunderea CMS-ului tău îngreunează accesul persoanelor cu intenție slabă pe site-ul tău. Ce-ar fi dacă am putea ascunde faptul că site-ul dvs. web rulează pe WordPress. Acest lucru ar proteja site-ul dvs. împotriva hackerilor care doresc să exploateze vulnerabilități comune. Un mod ușor de a face acest lucru este prin (ați ghicit) folosind un plugin. Dar metoda eșuează atunci când hackerii nu le pasă pe ce platformă rulează site-ul dvs. web. În plus, există o multitudine de modalități de a afla dacă un site rulează pe WordPress.

Pe lângă utilizarea unui plugin, se poate alege lucrarea manuală. Dar este un proces care necesită mult timp. O singură actualizare WordPress poate anula tot ceea ce lucrați în câteva secunde. Ceea ce înseamnă că, fie trebuie să repetați procesele repetate, fie să evitați actualizările WP. Saltul actualizărilor WordPress este ca și cum ai deschide ușa din față pentru ca un hacker să poată intra chiar în casa ta.

6. Parola protejarea wp-admin nu funcționează

Pagina implicită de autentificare WordPress (care arată așa – exemplu.com/wp-admin) este o poartă de acces către site-ul dvs. O pagină de autentificare tipică arată ca imaginea de mai jos.

Aici va trebui să vă folosiți datele de acreditare pentru a accesa tabloul de bord WordPress. Protejarea parolei face pagina de conectare ajută la ascunderea sau protejarea acestei gateway către tabloul de bord. Este o idee bună, dar nu fără lacune.

Exemplu de protecție prin parolă LookLinux

Poze amabilitate: LookLinux

În primul rând, este dificil să menții sau chiar să schimbi parola, dacă se întâmplă să o pierzi. Pe lângă faptul că sunt ineficiente în furnizarea de securitate suplimentară, astfel de modificări ale site-ului dvs. se pot dovedi a fi foarte periculoase. De exemplu, atunci când protejați parola cu pagina de admin, solicitarea, cum ar fi /wp-admin/admin-ajax.php, nu poate evita protecția. Există pluginuri care ar putea depinde de funcționalitatea Ajax a site-ului dvs. Și atunci când nu sunt capabili să acceseze această funcționalitate, ei încep să se comporte greșit. Prin urmare, acest lucru poate provoca ruperea site-ului web.

Este randul tau

Dacă aveți întrebări sau sugestii cu privire la ceea ce trebuie să evitați pentru a securiza site-ul WordPress al unuia, informați-ne în comentarii.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map