Sfaturi de securitate WordPress pentru profanul: securizați autentificarea WordPress și alte practici de securitate

Actualizat: 10 august 2021 / Articol de: Timothy Shim

De când a fost introdus pentru prima oară în urmă cu peste două decenii, WordPress a crescut (și a crescut) acum în mod sigur numit drept cel mai popular sistem de management al conținutului din lume. Astăzi, mai mult de un sfert din site-urile existente sunt difuzate pe WordPress.

Cu toate acestea, din timpuri imemoriale, cu cât este ceva mai popular, cu atât mai mulți oameni doresc să o folosească pentru mijloace nefaste. Uita-te doar la Microsoft Windows și numărul masiv de programe malware, viruși și alte exploatații concepute pentru a viza doar un singur sistem de operare.

Vulnerabilități WordPress
Versiunile 10 WordPress cu cele mai multe vulnerabilități (sursă). Cercetările din 2017 au identificat 74 de versiuni diferite de WordPress pe Alexa Top 1 milion de site-uri web; 11 dintre aceste versiuni sunt nevalide - de exemplu versiunea 6.6.6 (sursă).

De ce blogul dvs. WordPress este o țintă valoroasă?

În cazul în care vă întrebați de ce pe pământ un hacker ar dori să controleze blogul dvs. WordPress, există mai multe motive, inclusiv;

  • Folosindu-l pentru a trimite în secret mesaje de e-mail spam
  • Furați-vă datele, cum ar fi o listă de corespondență sau informații despre cartea de credit
  • Adăugarea site-ului dvs. la un botnet pe care îl pot utiliza ulterior

Din fericire, WordPress este o platformă care vă oferă o multitudine de oportunități de a vă apăra.

După ce am ajutat la configurarea și administrarea mai multor site-uri web și bloguri, aș dori să vă împărtășesc câteva dintre lucrurile mai elementare pe care le puteți face pentru a vă securiza site-ul WordPress.

Iată sfaturile de securitate 10 care pot fi utilizate.

Asigurați-vă pagina de conectare WordPress

Protejarea paginii dvs. de conectare nu poate fi realizată printr-o tehnică specifică, dar există cu siguranță pași și pluginuri de securitate gratuite pe care le puteți lua pentru ca orice atac să fie mult mai puțin probabil să reușească.

Pagina de conectare a site-ului dvs. este cu siguranță una dintre cele mai vulnerabile pagini de pe site-ul dvs., așa că haideți să începem să vă creăm un pic mai sigur pagina de conectare a site-ului dvs. WordPress.

1. Alegeți un nume de utilizator bun de administrator

Utilizați nume de utilizator neobișnuite. Anterior cu WordPress, trebuia să începi cu un nume de utilizator admin, implicit, dar nu mai este așa. Totuși, majoritatea administratorilor web noi folosesc numele de utilizator implicit și trebuie să își schimbe numele de utilizator. Poți să folosești Admin Renamer Extended pentru a schimba numele de utilizator al administratorului.

Paginile de conectare cu forțare brută este una dintre formele obișnuite de atacuri web cu care este probabil să se confrunte site-ul dvs. web. Dacă aveți o parolă sau un nume de utilizator ușor de ghicit, site-ul dvs. web va fi aproape sigur nu doar o țintă, ci în cele din urmă o victimă. Din experiență, majoritatea încercărilor de piratare a site-ului încearcă să se conecteze cu trei opțiuni principale de nume de utilizator. Primele două sunt întotdeauna „admin” sau „administrator”, în timp ce a treia se bazează de obicei pe numele dvs. de domeniu.

De exemplu, dacă site-ul dvs. este crazymonkey33.com, hacker-ul ar putea încerca să vă conectați cu "crazymonkey33".

Nu este o idee bună.

2. Asigurați-vă că utilizați o parolă puternică

Până acum ați crede că oamenii ar ști să folosească parole puternice și complexe pentru a-și proteja contul, dar există încă mulți care cred că "parola" este una minunată.

Splash Data a întocmit o listă cu parole frecvent utilizate în 2018. Parolă după rang în termeni de utilizare.

  1. 123456
  2. parola
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. soare
  9. QWERTY
  10. ILOVEYOU

Dacă utilizați una dintre aceste parole și site-ul dvs. primește vreun trafic, site-ul dvs. va fi aproape sigur că va fi luat mai devreme sau mai târziu.

O parolă puternică va include un amestec de:

  • Caractere capitalizate superioare și inferioare
  • Fii alfanumeric (AZ și az)
  • Includeți un caracter special (!, @, #, $, Etc)
  • Cel puțin caractere 8 în lungime

Cu cât parola este mai aleatorie, cu atât va fi mai sigură. Incearca asta generator de parole aleatoare dacă aveți probleme cu venirea unuia.

3. Implementați o reCaptcha

Baterii de pe perete de pe blogul WP.

reCaptcha a fost conceput pentru a opri utilizarea instrumentelor automate de la un site. Desigur, având în vedere complexitatea instrumentelor de hacking de astăzi, acestea pot fi destul de ușor de ocolit, dar cel puțin există acel strat suplimentar de securitate.

Sunt un număr de pluginuri reCaptcha puteți utiliza cu instalarea dvs. care va funcționa destul de mult din cutie.

4. Folosiți autentificarea cu doi factori (2FA)

2FA este o metodă de autentificare care necesită o verificare a datelor dvs. de autentificare. De exemplu, odată ce v-ați conectat cu numele de utilizator și cu parola, sistemul ar putea trimite un SMS pe telefonul dvs. mobil sau vă va trimite un e-mail cu un cod pe care trebuie să-l introduceți pentru a vă confirma identitatea.

Această metodă de autentificare oferă protecție bună și este folosită astăzi de multe bănci și instituții financiare. Din nou, această nevoie poate fi întâmpinată ușor cu a 2FA plugin.

Vedeți modul în care miniOrange (un plugin 2FA) funcționează cu conectarea la WordPress în următorul videoclip.

T

5. Redenumiți adresa URL de conectare

Cei mai mulți hackeri vor încerca să se conecteze prin intermediul paginii implicite de autentificare wordpress, care este de obicei ceva similar

sample.com/wp-admin.

Pentru a adăuga un alt nivel de protecție, schimbați adresa URL a paginii de conectare rapid și fără efort cu un instrument similar WPS Hide Login.

6. Limitați numărul de încercări de conectare

Aceasta este o tehnică incredibil de simplă pentru a opri atacurile de forță brute pe pagina dvs. de conectare chiar în căile lor. Un atac de forță brute funcționează prin încercarea de a obține numele de utilizator și parola dvs. dreptul de a încerca mai multe combinații de peste si peste.

Dacă este urmărită IP-ul particular care provoacă atacul, atunci puteți bloca încercările repetate de forțare brute și păstrați-vă site-ul în siguranță. Acesta este și motivul pentru care atacurile globale DDOS apar cu mai multe adrese IP cu origini diferite de atac, pentru a arunca servicii de găzduire și de securitate a site-ului în afara pazei.

Conectați-vă LockDown și Soluție de securitate pentru conectare ambele ofera solutii excelente pentru a proteja paginile de autentificare ale site-ului. Ei urmăresc adresele IP și limitează numărul de încercări de autentificare pentru a vă proteja site-ul.

Zidul de securitate al site-ului Harden

Am discutat diverse tactici în securizarea paginii dvs. de conectare la WordPress - acei pași menționați mai sus sunt elementele de bază pe care le puteți face. De asemenea, trebuie să știți că unele gazde web impun utilizatorilor lor unele dintre aceste practici de securitate. Există o serie de alte practici de securitate pe care le puteți implementa pe site-urile dvs.

7. Protejați-vă directorul wp-admin

Adăugați un strat suplimentar de securitate directorului dvs. gazdă.

Directorul wp-admin este inima instalării WordPress. Ca protecție suplimentară, parola protejează acest director.

Pentru a face acest lucru, va trebui să vă conectați la panoul de control al contului dvs. de găzduire. Indiferent dacă utilizați cPanel or Plesk, opțiunea pe care o căutați este "Adrese protejate prin parolă".

În mod alternativ, puteți proteja un director printr-o modificare a fișierelor .htaccess și .htpasswds. Ghidul detaliat pas cu pas și un generator de cod sunt disponibile gratuit la Dynamic Drive.

Rețineți că folderul wp-admin protejează parola sparge public AJAX pentru WordPress - va trebui să permiteți permisiunile de administrare ajax prin .htaccess pentru a evita orice erori de site.

8. Utilizați SSL pentru a cripta datele

Conexiune HTTP vs HTTPS (Sursa: Sucuri)

În afară de site-ul în sine, veți dori, de asemenea, să păstrați legătura dintre dvs. și server și acesta este locul unde SSL vine pentru a vă cripta comunicațiile. Prin conectarea criptată, hackerii nu vor putea intercepta date (cum ar fi parola) atunci când comunicați cu serverul dvs.

În afară de aceasta, este, de asemenea, o bună practică să punem în aplicare SSL acum, deoarece motoarele de căutare penalizează tot mai mult site-urile pe care le consideră "nesigure".

Pentru bloggerii individuali și întreprinderile mici, un SSL gratuit și partajat - pe care îl puteți obține de obicei de la furnizorul de găzduire, Să ștergem, Sau Cloudflare - este de obicei mai mult decât suficient de bun. Pentru companiile care procesează plata clienților - cel mai bine este ca dvs. cumpărați un certificat SSL dedicat de la gazda web sau de la o autoritate de certificare (CA).

Aflați mai multe despre SSL în detaliile noastre AZ Ghid pentru SSL.

9. Utilizați o rețea de distribuție de conținut (CDN)

În timp ce acest lucru nu poate salva site-ul dvs. de a fi hacked, acesta ajută la atenuarea împotriva atacurilor rău intenționate împotriva acestuia. Unii hackeri își propun să reducă site-urile web, făcându-le inaccesibile publicului. Un CDN va ajuta la amortizarea loviturii unui Refuzul distribuit al serviciului atac pe site-ul tău.

În afară de asta, vă ajută, de asemenea, să grăbiți puțin site-ul dvs. prin a-și ascunde ceva conținut. Pentru a explora această opțiune, priviți spre Cloudflare ca exemplu. Cloudflare oferă servicii CDN la niveluri de prețuri cu mai multe niveluri, astfel încât puteți utiliza chiar și funcții de bază gratuit.

Aflați mai multe despre modul în care funcționează Cloudflare și avantajele utilizării serviciului.

10. Asigurați-vă că TOATE software-ul dvs. este actualizat

Indiferent cât de bun sau scump este software-ul, vor exista întotdeauna noi slăbiciuni găsite în ele care le-ar putea lăsa deschise pentru a exploata. WordPress nu este o excepție și echipa eliberează în mod constant versiuni mai recente, cu remedii și actualizări.

Hackerii încearcă aproape întotdeauna să profite de slăbiciune, iar un exploit cunoscut care este lăsat nefixat este pur și simplu să ceară probleme. Acest lucru este de două ori mai mult pentru plugin-uri care sunt adesea create de companii mult mai mici, cu resurse mai puține.

Dacă utilizați pluginuri, asigurați-vă că actualizările sunt publicate în mod regulat sau luați în considerare găsirea plugin-uri populare, cu funcționalități similare, care este actualizată.

După ce am spus acest lucru, NU recomand să utilizați actualizări automate WordPress și Plugin, mai ales dacă rulați un site live. Unele actualizări pot provoca probleme, fie interne, fie prin conflict cu alte pluginuri și setări.

În mod ideal, creați un mediu de testare care să reflecte site-ul live și să testați actualizările acolo. După ce sunteți sigur că totul funcționează bine, puteți aplica actualizarea site-ului live.

Panourile de control, cum ar fi Plesk, vă oferă opțiunea de a crea o clonă a site-ului în acest scop.

11. Backup, copie de rezervă și backup!

Indiferent ce măsuri de securitate sau cât de prudent sunteți, se întâmplă accidente. Salvați-vă un a-vă de la o suferință zdrobitoare și sute de ore de lucru prin pur și simplu asigurați-vă că aveți servicii adecvate de rezervă în loc.

În mod normal, gazda dvs. web va veni cu câteva caracteristici de bază de backup cel puțin, dar dacă sunteți paranoic ca mine, asigurați-vă întotdeauna că vă desfășurați backup-urile proprii independente. Copierea de rezervă nu este la fel de simplă ca și copierea unor fișiere, ci și luarea în considerare a informațiilor din baza de date.

Căutați o soluție de rezervă care este încercată și dovedită. Chiar și o mică investiție este în valoare de ea pentru a salva lacrimile în caz de urgență. Ceva asemănător cu BackupBuddy vă poate ajuta să salvați totul, inclusiv baza de date, dintr-o dată.

12. Gazda dvs. web contează!

Deși în mod tradițional, companiile de găzduire web ne-au oferit pur și simplu spațiu pentru a ne găzdui site-urile web, vremurile s-au schimbat. Furnizori de găzduire web, înțelegerea vulnerabilităților, s-au intensificat pentru a spori securitatea, cu multe oferind servicii cu valoare adăugată pentru a-și completa gazduirea web.

Luați de exemplu HostGator, unul dintre cele mai cunoscute nume din joc. În afară de funcțiile de bază ale Cloudflare, HostGator (la prețul de $ 10 + / mo) vine de asemenea cu protecția împotriva spamului, eliminarea automată a malware-ului, copiile automate, confidențialitatea domeniului și multe altele.

Gestionat WordPress furnizor de gazduire, Kinsta, construiți firewall-uri hardware și monitorizați activ serverele lor pentru atacurile malware și DDoS cu ajutorul sistemului său personalizat.

Dacă aceasta este ceva care nu ți-a avut încă loc, îți încurajez foarte mult să te uiți la ce caracteristici de securitate oferă gazda ta și să o compare cu ceea ce este disponibil în prezent.

Pentru o listă completă puteți verifica Compilarea WHSR de cele mai bune gazde web aici.

Acum ce?

Înainte de a alerga în sălbăticie și de a începe să spălați Internetul în panică, căutați un milion și o soluție de securitate - respirați adânc. Ca și în cazul altora, cineva v-ar fi ajutat deja să vă panică și ați căutat o soluție.

Chiar dacă implementați cât mai multe soluții de securitate pe care le puteți găsi, sunteți voi sigur esti in siguranta?

Iată unde se află ceva Securitate Ninja veniți, ceea ce vă ajută să explorați site-ul pentru slăbiciuni.

Demo rapidă: Cum funcționează securitatea Ninja.

Există câteva motive imperioase pentru a folosi ceva de genul Ninja de securitate, dar permiteți-mi să spun că este un instrument pe care aș recomanda să-l folosiți în mai multe etape în călătoria dvs. pentru a vă asigura site-ul.

Mai întâi, rulați-o pe site-ul dvs. "așa cum este" - înainte de a efectua modificări. Lăsați pluginul să-ți împingă site-ul înainte să-ți dai rezultatele.

Apoi, pe baza acestor rezultate, lucrați pentru asigurarea site-ului dvs. Ninja de securitate efectuează mai mult decât teste 50 pentru a vă cerceta apărarea. Chiar și după ce ați făcut modificările, rulați-o din nou (și de fiecare dată când există modificări de site sau actualizări de pluginuri) doar pentru a testa site-ul.

Dacă sună prea mult pentru tine, Security Ninja vine și cu o serie de module suplimentare (pro versiune, un singur site $ 29) care vă pot ajuta să remediați problemele pe care le găsește.

Unele alte caracteristici cheie din aceste module includ:

  • Scanați fișierele de bază WP pentru a identifica fișierele problematice
  • Restabiliți fișierele modificate cu un singur clic
  • Remediați actualizările automate WP defecte
  • Interzice 600 de milioane de IP-uri rău colectate de la milioane de site-uri atacate
  • Enumerați actualizările automate, nu este nevoie de lucrări de întreținere sau manuale
  • Protejați formularul de conectare de atacurile cu forță brută

Gânduri finale

În timp ce toate acestea pot părea puțin excesive pentru utilizatorul mediu WordPress, vă asigur că toate (și mai multe) sunt necesare. Dacă ignorați statisticile de hacking la nivel mondial și nu mai faceți nimic, permiteți-mi să vă împărtășesc câteva informații personale pe unul dintre cele mai obscure site-uri pe care le ajut.

Inițial am început ca un simplu site biografic, pe care l-am creat www.timothyshim.com. Evident, a fost doar ceva pe care l-am configurat și de cele mai multe ori lasă singur, pur și simplu ca un punct de referință. Pe fiecare lună-perioadă lungă, acest site care practic nu face nimic și nu colectează date, se confruntă cu atacuri 30 - o combinație între forța bruta și cele complexe.

Tot ce are nevoie este ca unul dintre ei să reușească și aș avea un a într-adevăr zi proastă.

De asemenea, Citiți

Despre Timothy Shim

Timothy Shim este scriitor, editor și tehnician geek. Începând cu cariera sa în domeniul tehnologiei informației, el și-a găsit rapid amprenta și de atunci a lucrat cu titluri media internaționale, regionale și interne, printre care ComputerWorld, PC.com, Business Today și Asian Banker. Expertiza sa constă în domeniul tehnologiei atât din punct de vedere al consumatorilor, cât și al întreprinderilor.

Conectați: