Lista simplă de verificare a securității pentru site-uri WordPress

Știați că peste 100.000 de site-uri web sunt hacked zilnic? În regulă, infracțiunile informatice reprezintă o amenințare serioasă pentru orice companie și oricine are un site WordPress nu este în siguranță. Am avut o întâlnire cu hackerii (și a trebuit să-mi recuperez site-ul WordPress) și probabil știi că a fost urât.


Hackerii caută în mod activ site-uri web vulnerabile care să rupă și să fure date pe care le pot elibera pentru câștig monetar sau intenție pură de rău. Pentru a vă proteja pe dvs. și pe site-ul dvs. prețios, ar trebui să aveți în vedere serios întărirea securității WordPress.

Având în vedere că veți pierde venituri, timp și efort atunci când hackerii intră pe site-ul dvs. web, am creat următoarea listă de verificare de securitate pe care o puteți utiliza pentru a vă asigura site-ul dvs. WordPress. Toate elementele de securitate din post sunt relativ ușor de implementat chiar și pentru primii timeri:

După cum puteți vedea, vom împărți postarea în mai multe părți care acoperă totul, de la alegerea unei gazde sigure până la întărirea zonei dvs. de administrare și altele. Va trebui să repetați unele sarcini de securitate, cum ar fi actualizarea temelor dvs. în mod regulat. Alte sarcini sunt un lucru unic, dar au un impact semnificativ asupra păstrării securității site-ului. Verificați ce trebuie să remediați și faceți imediat, deoarece hackerii nu pierd timpul.

Lista simplă de securitate WordPress

1. Actualizați WordPress

WordPress core este verificat regulat și verificat pentru vulnerabilitățile de securitate. Dacă sunt detectate defecte și erori de securitate, dezvoltatorii de bază lansează de obicei actualizări de întreținere. Actualizări minore sunt instalate automat pe site-ul dvs. WordPress.

Cu toate acestea, va trebui să actualizați manual WordPress pentru toate versiunile majore. Este un proces relativ simplu, deoarece veți primi un mesaj neplăcut în administratorul dvs. WordPress. Doar 22% dintre site-urile web utilizează cea mai recentă versiune a WordPress, ceea ce este trist având în vedere cât de ușor este să actualizați.

Nu rămâneți în restul de 78%, deoarece în mod esențial expuneți site-ul dvs. la toate tipurile de atacuri, fără să vă actualizați site-ul. De obicei, hackerii sunt primul grup de oameni care au aflat despre vulnerabilitățile din versiunile vechi, din moment ce mizează pe defectele de a lansa atacuri de succes..

Înainte de a actualiza WordPress, vă recomandăm să citiți notele de lansare pentru a vedea ce s-a schimbat și să luați o copie de rezervă a site-ului dvs. (doar pentru a fi în siguranță). În acest fel, acum la ce să vă așteptați când faceți clic pe butonul de actualizare și aveți o problemă de siguranță ar trebui să se întâmple.

2. Actualizați teme și pluginuri

În timp ce actualizați nucleul WordPress, nu uitați să vă actualizați și temele și pluginurile. Hackerii sunt în mod deosebit pasionați de teme vechi și de pluginuri cu găuri de securitate cunoscute.

Acestea exploatează aceste vulnerabilități de securitate și pot chiar ascunde un backdoor într-o temă sau plugin vechi. Dacă nu faceți o actualizare, ei vă pot hack site-ul dvs. web ori de câte ori le place.

Pentru a evita să vă pierdeți stilurile personalizate, vă recomandăm să folosiți o temă pentru copii WordPress, spre deosebire de tema părinte. În acest fel, nu veți pierde personalizările atunci când vă actualizați tema.

De asemenea, ar trebui să elimini orice teme, pluginuri și instalații WordPress nefolosite. Nu numai că veți economisi lățimea de bandă și vă veți face site-ul mai rapid, dar veți menține și hackerii la dispoziție.

O altă notă rapidă, nu descărcați niciodată teme și pluginuri premium „anulate”. Mergeți numai cu surse de încredere, cum ar fi WordPress.org, Envato sau un alt magazin tematic de renume.

3. Folosiți parole unice și puternice

Vei fi surprins să afli că majoritatea site-urilor web sunt hackate atunci când cei răi te fură informațiile de autentificare. În plus, atacurile de forță brută sunt destul de frecvente și implică bombardarea paginii de conectare cu mii de combinații de nume utilizator-parolă până când ceva dă.

Dacă utilizați nume de utilizator și parole slabe (cum ar fi infamul „admin” sau „12345”), vă faceți foarte ușor accesul hackerilor în site-ul dvs. web. Obțineți obiceiul de a crea parole unice și puternice, pe care le schimbați în mod regulat. Puteți utiliza chiar și un generator online gratuit, ca acesta LastPass.

Gestionarea multor parole puternice poate fi o problemă. Pentru a ajuta, mă bazez adesea pe manageri de parole, cum ar fi 1Password sau LastPass, printre altele. Nu reutilizați aceeași parolă pe mai multe site-uri web și păstrați întotdeauna informațiile de conectare în siguranță. Asigurați-vă că utilizatorii dvs. WordPress folosesc și parole puternice.

În timp ce vă aflați, nu uitați să utilizați parole puternice pentru e-mail, cPanel, bazele de date MySQL și conturile FTP..

4. Instalați un plugin de securitate WordPress

Ori de câte ori creez un nou site WordPress, de obicei am mai multe plugin-uri defacto pe care le instalez aproape automat. Primesc un plugin anti-spam, Formularul de contact 7, Simplificări scurte și iThemes Security, pluginul meu de securitate WordPress.

Pluginul îmi permite să-mi fortific apărările WordPress fără să rup o transpirație. Este livrat cu atât de multe caracteristici care fac să îi scoată pe cei răi din site-urile mele. Configurarea pluginului este ușor super duper; ar trebui să fiți în funcțiune în cel mai scurt timp.

Cele mai bune plugin-uri de securitate WordPress vă oferă diferite funcții, așa că asigurați-vă că verificați înainte de instalare pentru a vă asigura că obțineți toate funcțiile de care aveți nevoie pentru a vă securiza întregul site web, indiferent cât de unic. Funcțiile standard includ scanarea malware, blocarea IP, prevenirea forței brute, autentificarea în doi factori și multe altele – verificarea multor casete pentru această listă de verificare de securitate pe care o citiți chiar acum!

5. Alege Găzduire WordPress excelentă

De obicei, începătorii primesc primul pachet de gazduire ieftin pe care îl întâlnesc. Nu l-aș ține împotriva dvs., deoarece nu știți nimic mai bun, dar, fără îndoială, găzduirea partajată ieftină (sau chiar gratuită) vă poate expune riscurilor de securitate. Știu asta, de fapt, de când sunt hacked pe două companii de hosting diferite care oferă servicii de găzduire partajate.

Gazduirea partajată implică partajarea unui server cu mii de alte site-uri web. Acest lucru crește riscul de contaminare încrucișată. Adică, un hacker poate avea acces la site-ul dvs., chiar dacă site-ul altcuiva a fost punctul inițial de atac.

Găzduirea WordPress administrată, pe de altă parte, se concentrează numai pe site-urile WordPress. Nu partajați un server cu alții și veți primi mai multe opțiuni de securitate pentru a vă menține în siguranță. Acestea oferă și sprijin dedicat și mai multe opțiuni de recuperare ar trebui să se întâmple cel mai rău.

Dacă trebuie să folosiți găzduire partajată, spuneți că începeți cu un blog care nu face încă bani, asigurați-vă că site-urile sunt izolate sau „închis”. Dacă derulați un site web de afaceri sau eCommerce, plătiți să utilizați cele mai bune hostinguri WordPress pe care le puteți încadra în bugetul dvs. din cuvântul go – cum ar fi VPS, hosting dedicat sau administrat WordPress.

6. Folosiți SSL (HTTPS)

În prezent, multe companii de găzduire WordPress oferă certificate SSL gratuite din cuvântul go și dintr-un motiv bun. Certificatele SSL fac ca site-ul dvs. să fie mai sigur decât site-urile fără SSL. De asemenea, Google recomandă utilizarea certificatelor SSL pentru a proteja datele de pe site-ul dvs. (și asigurați-vă că utilizatorii știu dacă utilizați SSL sau nu).

HTTPS este mai sigur decât HTTP-ul predecesor. Un site web care utilizează HTTPS criptează toate datele care se deplasează între browserul utilizatorului și serverele dvs. Dacă un hacker interceptează comunicarea, va găsi doar date criptate care sunt la fel de utile ca un om cu un picior într-o competiție de lovitură de fund ass

Instalarea certificatelor SSL pe majoritatea gazdelor web este la fel de ușoară ca A, B, C. Majoritatea oferă instalatori cu un singur clic care facilitează întregul proces. Pur și simplu conectați-vă la cPanel și faceți clic pe un singur buton pentru a instala și gestiona certificatele SSL. Dacă doriți o abordare mai practică, luați în considerare verificarea Criptării.

7. Creați o copie de siguranță completă a site-ului

Când hackerii m-au detronat, a trebuit să-mi refac site-urile de la zero, o durere de cap pe care aș fi evitat-o ​​dacă mi-aș fi amintit în mod sigur să fac backup la WordPress.

Dar nu, copiile de rezervă care au fost cu gazda mea web au fost corupte în timpul atacului și nu, nu am avut o soluție de rezervă secundară. Un caz clasic de a pune toate ouăle într-un coș care mi-a învățat o lecție grea.

În prezent, creez copii de rezervă complete ale site-urilor web care includ fișierele și bazele de date ale site-ului meu web. Folosesc mai ales ManageWP, dar folosesc și Plug-ul Duplicator pentru a stoca copii de rezervă pe computerul meu și în Google Drive.

Vă îndemn să creați copii de rezervă complete în mod regulat. Multe soluții de backup WordPress vă permit să automatizați întregul proces, economisind timp și oferindu-vă liniște sufletească.

8. Folosiți un Firewall pentru aplicații web (WAF)

Pentru a adăuga un strat suplimentar de securitate pe site-ul dvs. WordPress și a dormi mai bine noaptea, activați un firewall pentru aplicații web (WAF). Un WAF vă protejează site-ul dvs. web blocând traficul rău intenționat cu mult înainte de a ajunge pe site-ul dvs. Este o măsură proactivă pentru a împiedica pe cei răi să moară pe urmele lor înainte de a provoca daune.

Firewall-ul filtrează traficul de intrare, eliminând hackerii, lăsând în același timp utilizatorii legitimi. Multe companii de securitate WordPress oferă firewall-uri pentru aplicații web alături de alte funcții. Opțiunile populare din industrie includ Sucuri și Cloudflare.

9. Dezactivați editarea fișierelor în WordPress Admin

CMS WordPress vine cu un editor fantastic de coduri care vă permite să editați fișiere plugin și temă în tabloul de bord al administratorului dvs. WordPress. Editorul de coduri este un instrument excelent pe care îl aveți la dispoziție, dar în mâinile greșite, hackerii îl pot utiliza pentru a șterge sau a adăuga malware pe site-ul dvs..

Puteți edita întotdeauna tema și conectați fișierele (dacă este necesar) prin FTP sau manager de fișiere în cPanel, ceea ce înseamnă că puteți dezactiva complet editorul de coduri în WordPress. Nu doriți ca hackerii care au acces la zona dvs. de administrare WordPress să aibă acces la editorul de cod, deoarece acestea pot provoca multe daune cu câteva linii de cod.

Ce sa fac? Puteți dezactiva editorul de cod încorporat folosind gratuit Securitate Sucuri conecteaza. În mod alternativ, puteți adăuga următorul cod la dvs. wp-config.php fişier:

// Nu permiteți editarea fișierului
define („DISALLOW_FILE_EDIT”, adevărat);

Mergem mai departe.

10. Asigurați-vă pagina de conectare

De obicei, formularul de autentificare de pe WordPress are două câmpuri; nume de utilizator și parolă. Având în vedere că atacatorii de forță brută și roboții devin mai deștepți în fiecare zi, cum împiedicați hackerii să acceseze zona dvs. de administrator WordPress? E simplu; adăugați CAPTCHA sau întrebări de securitate care îngreunează oricine să obțină acces neautorizat.

Și nu trebuie să editați codul adăugați CAPTCHA sau Intrebari de securitate la pagina de conectare Există un popular plugin WordPress cunoscut sub numele de Întrebare de securitate WP este ușor de configurat și de utilizat. Dacă doriți să utilizați CAPTCHA, puteți utiliza Captcha de conectare simplă, WordFence, sau una dintre numeroasele alte opțiuni disponibile gratuit pe WordPress.org.

În același timp, puteți schimbați adresa URL de conectare wp la ceva unic. În acest fel, roboții și hackerii vor avea greutăți să încerce să ghicească adresa URL la pagina de conectare. wp-login este deja popular în rândul hackerilor, deci are sens perfect să schimbi adresa URL în altceva. Puteți utiliza un plugin cum ar fi WPS Ascunde autentificare.

11. Adăugați autentificare

În plus, luați în considerare implementarea autentificării cu doi factori și multi-factori. În cazul în care un hacker are acces la detaliile dvs. de conectare, acesta nu va putea să se autentifice pe site-ul dvs. WordPress. Există multe opțiuni disponibile, dar Autentificator Google este o alegere populară.

În afară de aceasta, limitați autentificările pe pagina dvs. de conectare. Dacă un vizitator încearcă să se autentifice cu un cont care nu există sau încearcă din nou să se autentifice de mai multe ori, cel mai probabil este un hacker sau un bot care încearcă să-și forțeze efectiv. Puteți utiliza un plugin cum ar fi Limitați încercările de conectare sau Logare Blocare pentru a ține la distanță aceste elemente intruzive.

12. Deconectați utilizatori inactivi

Când aveți un site WordPress multi-utilizator WordPress, nu puteți controla complet modul în care utilizatorii accesează site-ul. Un autor ar putea decide să utilizeze Wi-Fi public gratuit pentru a face atingeri finale asupra unui articol. Un designer web ar putea părăsi biroul și să se întoarcă dintr-o pauză de o oră.

În astfel de scenarii, utilizatorul dvs. poate expune site-ul dvs. web la riscuri de securitate în cunoștință de cauză. O persoană rău intenționată ar putea prelua sesiunea, să-și editeze detaliile și, pur și simplu, să facă ravagii. Dacă partea neautorizată știe ce fac, poate prelua cu ușurință contul utilizatorului și face pagube.

Ce sa fac? Puteți deconecta utilizatorii inactivi automat după o perioadă predefinită. Și partea cea mai bună? Există pluginuri pentru acest scop exact. O opțiune populară este Deconectare inactivă plugin care include opțiuni pentru a personaliza timpul inactiv înainte de deconectare, mesaj pop-up personalizat sau redirecționare după deconectare și expirare în funcție de rolul utilizatorului.

13. Căutați probleme cu programe malware și (în mod regulat)

Adesea uitat, scanarea site-ului dvs. WordPress în mod regulat vă poate ajuta să identificați mai devreme problemele de securitate. Durează doar o secundă ca un hacker să intre în site-ul tău și să facă tot felul de lucruri urâte. Tocmai de aceea ar trebui să rămâneți mereu la curent cu lucrurile.

Multe plugin-uri de securitate WordPress pentru a scana infecții cu malware, vulnerabilități de securitate cunoscute, scripturi învechite, atacuri de forță brută, copii de rezervă inexistente și așa mai departe. Pluginurile vă trimit rapoarte detaliate despre problemele cunoscute, astfel încât să le puteți remedia sau angaja un profesionist.

Există multe scanere de site-uri, cum ar fi Sucuri SiteCheck, pe care îl puteți utiliza pentru a verifica site-ul dvs. într-un flash. Tot ce trebuie să faceți este să introduceți adresa URL, iar instrumentele vor verifica site-ul dvs. automat. După aceea, ei îți oferă un raport despre ceea ce trebuie să rezolvi. După ce ai raportul, rezolvi imediat toate vulnerabilitățile de securitate.

14. Folosiți un VPN

Dacă rulați un site web care conține informații sensibile care nu trebuie să ajungă niciodată în mâinile hackerilor, luați în considerare utilizarea unei rețele virtuale private (VPN), mai mult atunci când utilizați Wi-Fi public gratuit. Un VPN vă protejează de atacurile între om care sunt comune în rețelele publice, inclusiv la domiciliu și la serviciu.

O rețea privată virtuală vă asigură că, chiar dacă atacatorii au acces la sistem și vă fură detaliile, nu pot face nimic cu datele pe care le preiau. Dacă aveți o rețea de internet pe care o împărtășiți cu multe persoane, utilizați întotdeauna un VPN înainte de a accesa zona de administrare WordPress.

Alte opțiuni de securitate WordPress

Ai nevoie de mai multe de făcut? Ne-ar plăcea să vă păstrăm site-ul dvs. în siguranță în orice moment, așa că iată articole de securitate bonus pe care să le adăugați listei de verificare:

  • Dezactivează executarea fișierului PHP în / wp-content / wp-uploads /
  • Schimbați prefixul bazei de date WordPress
  • Parola vă protejează paginile de admin și de conectare pe server
  • Dezactivează indexarea directoarelor
  • Dezactivați WP REST API și XML-RPC dacă nu este necesar
  • Nu modificați și nu schimbați nucleul WordPress – scrieți sau nu utilizați un plugin care oferă funcționalitatea de care aveți nevoie
  • Asigurați-vă că site-ul dvs. web rulează cea mai recentă versiune de PHP
  • Utilizați un program antivirus pe computer
  • Activați Google Search Console
  • Reduceți vulnerabilitățile XSS și SQL Injection (este posibil să aveți nevoie de o persoană mai pricepută din punct de vedere tehnic care să vă ajute cu aceste două)

Într-adevăr, numărul de pași pe care îi puteți face pentru a vă proteja site-ul este interminabil. Dar dacă puteți verifica cele 14 articole pe care le-am enumerat, este un pas uriaș pentru securizarea site-ului dvs..


Securizarea site-ului dvs. WordPress este dificilă, dar nu imposibilă. Cu instrumentele și abilitățile potrivite, vă puteți întări rapid securitatea WordPress și să-i țineți departe pe actorii răi.

Ca recapitulare, păstrează-ți site-ul la zi. În plus, nu descărcați niciodată teme sau pluginuri de pe site-uri de încredere. Și pentru a fi în siguranță ar trebui să se întâmple cel mai rău, să aveți întotdeauna o soluție de rezervă fiabilă în loc.

Sperăm că ați găsit toate sfaturile de care aveți nevoie pentru a vă asigura site-ul dvs. WordPress, de aici afacerea online. Dacă aveți o întrebare sau aveți nevoie de ajutor pentru a afla cum să vă asigurați site-ul dvs. WordPress, vă rugăm să ne informați în comentarii. Stai in siguranta!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me