Cum sunt piratate site-urile WordPress
Din cauza popularității sale pe scară largă ca CMS, WordPress este, de asemenea, o țintă populară pentru hackeri.
Atacurile de hacking sunt în mare parte oportuniste, mai degrabă decât despre direcționare (deși site-urile de marcă mari pot fi vizate în mod specific). Cele mai multe atacuri sunt automatizate, cu roboți care caută în sus și în jos pe internet slăbiciuni de securitate pe care să le exploateze.
Atacurile sunt deseori efectuate prin:
- Găzduire nesecurizată a site-ului web
- Detalii de conectare – de exemplu, prin încercarea mai multor combinații aleatorii de nume de utilizator și parolă
- Dezabilități de securitate în software-ul CMS, plugin sau temă – de obicei atunci când nu a fost actualizat
Hackerii au o mare varietate de motive diferite, dar adesea este vorba de profit. Piratarea site-urilor pentru a distribui programe malware, a obține date despre utilizatori, a trimite e-mailuri spam sau a redirecționa vizitatorii site-ului web poate fi extrem de profitabilă.
Aceste breșe de securitate pot avea un impact extrem de negativ asupra site-ului dvs. web și a afacerii dvs. – subminând încrederea utilizatorilor, provocând încălcări legale și putând costa mii de lire sterline. Așadar, este vital să vă protejați site-ul WordPress împotriva pirateriei informatice.
Site-ul meu WordPress este vulnerabil la piraterie informatică?
Primarii WordPress și proprietarii de site-uri mici cred adesea că nu trebuie să își facă griji cu privire la securitate. Ei presupun că site-ul lor va fi prea mic și nesemnificativ pentru a-i interesa pe hackeri.
Această presupunere este greșită.
Site-urile WordPress de toate dimensiunile sunt piratate. Hackerii folosesc roboți automatizați pentru a scana internetul în căutare de site-uri cu puncte slabe de securitate și vor sparge ori de câte ori există o oportunitate.
Un alt lucru cheie de care trebuie să vă dați seama este că este posibil să nu fiți nici măcar conștienți când hackerii încearcă să pătrundă pe site-ul dumneavoastră. Dacă nu primiți în mod regulat notificări de securitate cu privire la încercările de hacking, probabil că veți afla doar atunci când un hacking reușește și ceva de pe site-ul dvs. merge prost.
Mesajul de preluare este că toate site-urile sunt vulnerabile la hacking – și că prevenirea este mai bună decât vindecarea. Asigurați-vă că instalați un plugin de securitate și luați alte măsuri preventive de securitate pentru a vă menține site-ul în siguranță.
Cum să-i învingeți pe hackerii WordPress
Vă împărtășim acum primele 10 modalități de a vă menține site-ul WordPress în siguranță și de a preveni ca acesta să fie piratat.
1) Alegeți un furnizor de găzduire sigur
Toți furnizorii de găzduire buni vor include protecție de securitate pentru a se asigura că informațiile site-ului dvs. sunt păstrate în siguranță pe serverele lor.
Când alegeți un furnizor de găzduire, asigurați-vă că verificați ce măsuri de securitate au (cum ar fi firewall-uri și FTP securizat), cum își monitorizează rețeaua de servere și cum răspund la orice breșă de securitate.
Site-ul dumneavoastră WordPress poate fi deosebit de vulnerabil la hacking dacă aveți un plan de găzduire partajată, deoarece hackerii pot folosi potențial alte site-uri de pe același server pentru a obține acces la al dumneavoastră.
Opțiunea de găzduire cea mai sigură – dar și cea mai costisitoare – este un server dedicat. Acest lucru merită luat în considerare dacă aveți niveluri de trafic deosebit de ridicate sau dețineți date sensibile pe site-ul dumneavoastră.
2) Obțineți un plugin de securitate
Având un plugin de securitate de înaltă calitate este o necesitate pentru a preveni ca site-ul dumneavoastră WordPress să fie piratat.
Pluginele de securitate includ, în general:
- un firewall pentru a bloca traficul suspect
- protecție de forță brută împotriva încercărilor multiple de autentificare aleatoare
- un scaner care verifică fișierele, temele și plugin-urile dvs. pentru probleme de securitate
- notificări regulate de securitate
Vă recomandăm Wordfence – un plugin de securitate excelent și gratuit. Odată instalat, „Wordfence” va apărea în meniul din stânga din tabloul de bord WordPress. Puteți face clic aici în orice moment pentru a vă scana site-ul, a vedea cele mai recente notificări și a primi recomandări pentru a îmbunătăți securitatea site-ului.
3) Alegeți o temă sigură
Alegerea temei potrivite pentru site-ul dvs. este crucială. Desigur, aceasta trebuie să aibă aspectul și caracteristicile potrivite pentru organizația dvs. Dar trebuie, de asemenea, să fie robustă și sigură.
O temă sigură va:
- Să fie actualizată și corectată în mod regulat
- Să urmeze standarde bune de codare
- Nu să fie asociată cu bug-uri sau erori de compatibilitate
Cu mai mult de 7.000 de teme WordPress disponibile, poate fi complicat să știi de unde să începi!
Cel mai bun mod de a alege o temă sigură este să căutați pe WordPress.org. Acolo, puteți răsfoi recenziile temelor, puteți verifica câte instalări a avut o temă și puteți vedea când a fost actualizată ultima dată tema – toate acestea sunt indicii bune de securitate.
De asemenea, ați putea dori să cereți agenției WordPress recomandări de teme care să satisfacă nevoile specifice ale site-ului dvs. web și ale organizației.
4) Păstrați WordPress actualizat
Menținerea WordPress actualizat este o altă măsură de securitate importantă. Actualizările software-ului WordPress sunt efectuate în mod regulat pentru a optimiza performanța și pentru a remedia orice probleme de securitate pe măsură ce sunt descoperite.
Este posibil să aplicați actualizări automate pentru majoritatea versiunilor de bază ale WordPress, astfel încât site-ul dvs. să fie actualizat în fundal fără ca dvs. să trebuiască să faceți ceva. Cu toate acestea, tot trebuie să acționați manual versiunile mai mari – asigurați-vă că faceți mai întâi o copie de rezervă a site-ului dvs. mai întâi!
Mesajele de actualizare vor apărea pe tabloul dvs. de bord WordPress de îndată ce acestea sunt disponibile. Trebuie doar să faceți clic pe ele pentru a acționa. Este o idee bună să actualizați în mod regulat și pluginurile și temele.
5) Folosiți detalii de autentificare securizate
Cum am menționat mai sus, una dintre modalitățile cheie prin care hackerii pot accesa site-ul dvs. WordPress este prin încercări automate de autentificare „ghicite”. Cu cât numele dvs. de utilizator și parola sunt mai evidente, cu atât este mai probabil ca aceste încercări să aibă succes.
Pentru a preveni piratarea, asigurați-vă că alegeți un nume de utilizator atipic. Acest lucru înseamnă, în principiu, să nu folosiți ‘admin’, care este atât de comun încât este, de obicei, primul nume de utilizator pe care hackerii îl vor încerca.
În al doilea rând, optați pentru o parolă sigură care să includă un amestec de litere, simboluri și numere. Pentru o securitate maximă, aceasta ar trebui să aibă cel puțin 12 caractere și să nu includă niciun cuvânt din dicționar.
Pe lângă securizarea conectării la tabloul de bord WordPress, asigurați-vă că alegeți nume de utilizator și parole sigure pentru celelalte conturi legate de site-ul dvs. web, cum ar fi adresa dvs. de e-mail personalizată. În caz contrar, acestea ar putea fi, de asemenea, folosite pentru a vă sparge site-ul.
6) Adăugați autentificarea cu doi factori
Vă puteți consolida și mai mult autentificarea WordPress prin activarea autentificării cu doi factori. Acest lucru este deosebit de util dacă aveți mai mulți utilizatori care se loghează în back-end-ul site-ului dvs.
Cu autentificarea cu doi factori, utilizatorii se loghează în două etape. În primul rând, aceștia introduc numele de utilizator și parola lor. Apoi, ei trebuie să introducă un cod de acces unic pentru a-și verifica identitatea.
Cu pluginul de securitate Wordfence pe care l-am recomandat mai sus, autentificarea cu doi factori este ușor de activat. Acesta folosește o aplicație authenticator pentru a genera coduri de trecere pentru utilizatori.
Pentru a configura lucrurile, mergeți la Wordfence > Login Security în tabloul de bord WordPress și copiați cheia dată. Apoi descărcați Google Authenticator (sau altă aplicație de autentificare) și introduceți această cheie.
În acest moment, aplicația va furniza un cod din șase cifre. Pur și simplu introduceți-l din nou în tabloul de bord WordPress și faceți clic pe „Activate”.
Autentificarea cu doi factori va fi acum activată. Acest lucru înseamnă că, de fiecare dată când veți încerca să vă conectați pe WordPress, vi se va cere să mergeți la aplicația dvs. de autentificare și să colectați un cod de acces.
7) Dezactivați editarea fișierelor
WordPress are un editor de cod care vă permite să editați fișierele site-ului dvs. prin intermediul tabloului de bord. În timp ce aceasta este în mod evident o caracteristică utilă, este, de asemenea, o mare responsabilitate în ceea ce privește hacking-ul. Prin urmare, vă recomandăm să o dezactivați.
O altă modalitate de a preveni editarea fișierelor este dezactivarea executării fișierelor PHP în folderele dvs. /wp-content/uploads/. Pentru aceasta, deschideți Notepad – sau un editor de text similar – și lipiți următoarele:
<File *.php>
deny from all
</File>
Dacă salvați acest lucru ca fișier .htaccess și încărcați fișierul în dosarele /wp-content/uploads/ de pe site-ul dvs. web, aceasta va împiedica, de asemenea, hackerii să facă atacuri backdoor asupra execuției PHP.
8) Scanați-vă site-ul web și calculatorul
Este important să vă scanați site-ul web în mod regulat pentru a verifica dacă există malware, viruși și coduri suspecte. Dacă folosiți pluginul Wordfence, acest lucru se poate face accesând Wordfence > Scanare și făcând clic pe „Start new scan”.
Dacă există probleme, Wordfence vă va sugera cum să le remediați și să vă securizați din nou site-ul. Vă recomandăm să efectuați scanarea cel puțin o dată pe lună – dacă o puteți face mai frecvent, atunci și mai bine!
Cu toate acestea, nu are rost să vă bazați pe faptul că aveți un site securizat dacă calculatorul de pe care operați site-ul este virusat sau infectat. Așadar, asigurați-vă că vă scanați și computerul sau dispozitivul în mod regulat.
Ar trebui să folosiți un software antivirus bun pe dispozitivul dvs. și să vă asigurați că vă actualizați sistemul în mod regulat. De asemenea, vă recomandăm să verificați setările de confidențialitate din browserul dvs. pentru a evita să fiți piratat în timp ce navigați pe internet.
9) Utilizați HTTPS
Având un site HTTPS înseamnă că comunicațiile dintre site-ul dvs. și browserele utilizatorilor sunt criptate. Aceasta este, prin urmare, o altă modalitate cheie de a preveni pirateria informatică.
Dacă nu aveți deja un site HTTPS, este foarte simplu să îl transferați. Trebuie doar să obțineți un certificat SSL (Secure Sockets Layer), care este disponibil pentru toate site-urile web, gratuit, de la Let’s Encrypt.
Dacă aveți deja un certificat SSL, atunci asigurați-vă că ați setat un memento în calendar pentru a-l reînnoi la fiecare doi ani. În caz contrar, este ușor să uitați și să lăsați statutul HTTPS al site-ului dvs. – și bunele acreditări de securitate – să cadă.
10) Copie de rezervă, copie de rezervă, copie de rezervă!
Chiar dacă ultimul nostru sfat nu previne de fapt pirateria informatică, este probabil cel mai important pas pe care trebuie să-l faceți în cazul în care site-ul dvs. este vreodată piratat.
Făcând în mod regulat copii de rezervă ale site-ului, vă puteți restabili din nou site-ul rapid, dacă este nevoie. Fără o copie de rezervă, ați putea risca să pierdeți tot ceea ce ați proiectat, postat sau scris vreodată pe site-ul dumneavoastră.
Cum să vă faceți o copie de rezervă a site-ului WordPress va depinde de tipul de găzduire pe care îl aveți. Asigurați-vă că vorbiți cu furnizorul dvs. de găzduire; este posibil ca acesta să includă copii de rezervă ca parte a pachetului dvs. de găzduire.
Alternativ, discutați cu agenția dvs. WordPress sau instalați un plugin de backup. Indiferent cum procedați, asigurați-vă că faceți o copie de rezervă a site-ului WordPress în mod regulat și stocați fișierele de rezervă în siguranță, astfel încât să știți că sunt acolo dacă veți avea vreodată nevoie de ele.
.