Setări de securitate pentru WordPress (partea I)

Acest articol am să-l dedic special bloggerilor care folosesc WordPress şi au propriul lor domeniu, implicit acces la cPanel. Unele sfaturi vor fi un pic mai dificile, pentru cei care nu au mai interacţionat până acum cu programarea, dar nu imposibile. Toţi ne dorim un blog cât mai securizat şi toţi ne dorim să dormim bine noaptea, fără să stăm cu grijă că se va trezi un hacker să ne strice toată munca şi inspiraţia adunată acolo. Să începem!

1. Fii la zi cu toate update-urile platformei, dar şi a pluginurilor folosite. În general fiecare update vine cu îmbunătăţiri şi ale patch-urilor privind securitatea. Nu întotdeauna există puncte vulnerabile uşor de descoperit, dar dacă există şi sunt rezolvate, este important să le avem şi noi actualizate. Aceste actualizări se pot face rapid, chiar din panoul de administrare WordPress, toţi vedem aceste notificări şi în general necesită doar un singur click.

2. Limitează numărul de autentificări nereuşite.  Uneori hackerii pot fi cei apropriaţi nouă, si pot crede că ne vor ghici parola din câteva încercări. În cele mai multe cazuri hackerii dezvoltă tot felul de scripturi care simulează autentificări şi diferite parole. Pentru a avea control asupra acestor lucruri, putem alege un plugin, precum Login LockDown , putem să alegem un număr de încercări eşuate pe care să-l agreem, default 3, iar IP-urile care depăşesc acest număr vor fi blocate pentru o oră. Noi putem schimba aceste setări şi putem bloca definitiv aceste IP-uri.

3. Nu folosi „admin” ca username şi alege o parolă care să conţină caractere speciale, majuscule, cifre şi litere. De la versiunea WordPress 3.0, putem să ne alegem chiar de la instalare orice username şi e recomandat ca acesta să nu fie „admin”, iar când vine vorba de o parolă complexă poţi folosi cu încredere orice generator de parole online, eu recomand Random Password Generator, dar mai puteţi găsi şi altele.

4. Foloseşte reCAPTCHA pentru a reduce spamul. reCAPTCHA este un sistem care ajută la identificarea oamenilor şi a roboţilor. Cu siguranţă ai întâlnit şi ştii despre ce vorbesc. Îţi aminteşti de acele căsuţe cu text, sau cu o simplă chestie de matematică pe care eşti nevoit să o rezolvi pentru a trimite un comentariu sau pentru a te autentifica pe un site? Dacă da, atunci aceea este o aplicaţie reCAPTCHA care ajută la îmbunătăţirea securităţii unui site și o poți instala și tu dintr-un plugin cu același nume.

5. Schimbă url-ul default pentru logarea în admin-ul WordPress folosind HC Custom WP-Admin URL. Acesta este un plugin de la WordPress care îți permite să schimbi url-ul din clasic (ex: www.site.ro/wp-admin) – „wp-admin” – cu orice îți dorești tu.

Şi cam aici se vor opri sfaturile mai simple, de acum vor urma sfaturi un pic mai complicate, ce implică şi un pic de cod şi fişiere de modificat. Vor fi sfaturi ce vor presupune o modificare a fişierului .htaccess, iar dacă nu aveţi datele de la cPanel, vă recomand să instalaţi WP Htaccess Editor.

6. Protejează tot ce implică partea de Admin a site-ului tău WordPress. Cum? Este important să restricţionăm cât mai mult accesul în zona de admin, uneori prin instalarea unui plugin care să nu permită înregistrarea altor utilizatori sau mai sigur prin limitarea accesului la un singur IP. Cred că te-am ameţit, nu? Hai că nu e aşa complicat.

Pentru cei care au un IP fix, trebuie să aflaţi ip-ul vostru, puteţi folosi un site gen whatismyipaddress.com, copiaţi IP-ul, de exemplu 95.76.230.154, deschideţi .htaccess şi copiaţi următoarele rânduri şi să schimbaţi IP-ul dat ca şi exemplu cu IP-ul vostru.

<Files wp-login.php>
order deny,allow
Deny from all
Allow from 95.76.230.154
</Files>

Aşa cum spuneam şi mai sus, dacă scrieţi din mai multe locaţii, puteţi adauga noi rânduri pentru acele IP-uri astfel:

<Files wp-login.php>
order deny,allow
Deny from all
#IP-ul meu fix
Allow from 95.76.230.154
#IP-ul de la bunici
Allow from 75.76.230.154
#IP serviciu
Allow from 65.76.230.154
#IP colaborator
Allow from 55.76.230.154
</Files>

7. Dezactivează posibilitatea accesării folderelor din temă. Hackerii obişnuiesc să acceseze folderele unui site pentru a găsi fişierele cu vulnerabilităţi şi pentru a le accesa şi implicit modifica. Tot ce trebuie să faci, este să copii o singură linie în fișierul .htaccess.

Options -Indexes

8. Blochează rularea de fişiere php în anumite foldere. Dacă hackerii au acces la anumite foldere gen wp-includes, uploads, wp-content, ei pot adăuga fişiere ce par a face parte din tema WordPress şi le pot rula. Pentru a evita acest lucru, tot în .htaccess trebuie adăugat acest cod:

<Files *.php>
deny from all
</Files>

9. Protejează wp-config.php – acesta este un fişier foarte important în cadrul unui WordPress, unde se află toate datele şi setările importante. Pentru a proteja acest fişier şi implicit site-ului adăugaţi, tot în htaccess următoarele:

<files wp-config.php>
order allow,deny
deny from all
</files>

10. Protejează și fișierul .htaccess – după cum putem observa în .htaccess putem face multe, dar e nevoie să fie şi protejat acest fişier, pentru că în mare parte de el depind multe setări de securitate a site-ului. Pentru acest lucru, trebuie să adăugăm tot în .htaccess următoarele rânduri:

<Files ~ „^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>

Pentru moment mă voi opri aici cu sfaturile, dar lista cu setari de securitate pentru WordPress nu se oprește aici și voi continua cu sfaturile într-un următor articol, pe acceași temă, dar un pic mai avansat. Nivelul de complexitate va crește și vom face modificări și în alte fișiere. Dacă întâmpinați probleme, nu ezitați să îmi scrieți.

8 Comments

  1. Schimbă wp-admin în Wordpress - Bianca Ionel | Professional Blog

    ianuarie 28, 2017 at 9:02 am

    […] uitați să aruncați o privire și peste „Setări de securitate WordPress” partea I și partea a II-a. Sper că acest articol vă este util și vă invit să vă instalați un astfel […]

  2. Sfaturi pentru un blogger incepător (VI) - Acorduri din suflet - Bianca Ionel

    noiembrie 23, 2016 at 9:18 am

    […] Setările de securitate te pot ajuta să previi multe atacuri din partea fanilor; […]

  3. Ethos

    septembrie 9, 2016 at 2:42 am

    2. Și Jetpack-ul are o funcție de protecție împotriva atacurilor de tip „brute force”. M-am gândit că merită menționat, fiind creat chiar de cei din spatele platformei WordPress.

    3. Userul tău este „admin”. 😀

    4. Nu sunt de acord.

    În primul rând, ar trebui făcută o diferență între CAPTCHA, la modul general, și reCAPTCHA, care este o implementare particulară a lui CAPTCHA, oferită de Google. Tu folosești cei doi termeni ca fiind interschimbabili dar pluginuri de CAPTCHA sunt multe, nu este obligatoriu să-l utilizezi pe cel de la Google. Poți instala orice plugin de CAPTCHA dorești.

    Acum că am clarificat terminologia, mie nu-mi place niciun plugin de CAPTCHA. De ce? Pentru că toate supun comentatorul la un efort suplimentar. De ce să ceri oamenilor să demonstreze că nu sunt roboți când ai putea să ceri roboților să demonstreze că sunt oameni?

    Am scris despre asta într-un articol în care explic de ce nu sunt un fan Akismet.

    Restul sfaturilor sunt foarte interesante.

    1. Bianca Ionel

      septembrie 9, 2016 at 8:26 am

      2. Bună sesizare
      3. A fost 🙂
      4. Din viteză am ratat un re.

      Mulțumesc pentru adăugări!

      1. Ethos

        septembrie 9, 2016 at 2:56 pm

        Haha, bună asta cu „a fost”! 🙂

        Dar apropo de noul tău username, este necesar să folosești caractere speciale în el? După mintea mea, ideea de bază e să folosești un nume diferit de numele implicit, adică de „admin”. Pentru că majoritatea scripturilor de hack vor fi făcute să-l targeteze pe „admin” – cazul cel mai des întâlnit. Nu cred că face nimeni un script care să încerce toate variantele de „username” și „parolă”, fie încearcă să spargă direct „admin”, fie se uită pe blog și vede exact ce user ai (cu sau fără caractere speciale) și îl țintește pe ăla.

        Adică ori „eth0s2016”, ori „ethos”, cred că tot același grad de protecție l-aș avea.

        1. Bianca Ionel

          septembrie 13, 2016 at 8:45 am

          Se spune că username-ul nu ar fi o problemă, dar îmi place să fiu preventivă, iar alegerile mele sunt mai mult din reflex. Îmi place să complic lucrurile 🙂

  4. Iuda

    iulie 11, 2016 at 3:44 pm

    Buna Bianca.
    Am un site pe wp dezvoltat de mine si am o mare dilema. Ce este mai bine de facut in domeniul securitatii, sa folosesc un plugin dedicat (care e posibil sa imi traga siteul in jos la viteza de incarcarcare) sau setarile oferite de tine mai sus?

    1. Bianca Ionel

      iulie 12, 2016 at 8:58 am

      Bună,

      Eu îți recomand să analizezi ce face acel plugin si ce fac setările oferite de mine și să alegi varianta care o consideri tu mai bună pentru site-ul tău.

  5. Setări de securitate pentru Wordpress (partea a II-a)

    septembrie 8, 2015 at 12:01 pm

    […] cum am specificat şi în articolul anterior, Setări de securitate pentru WordPress (partea I), acest articol va fi mai complex şi e posibil ca unii dintre voi să întâmpine dificultăţi în […]

  6. Cristian

    septembrie 1, 2015 at 9:48 pm

    Este super ideea de a schimba url-ul cu wp-admin cu orice altceva.

    Altfel, is utile sfaturile astea de securitate. Poate ca ar fi bine sa stim si la ce ne expunem cand nu ne securizam site-ul.

    /Exemplul meu: am descoperit cu totul intamplator ca cei care voiau sa intre pe site-ul meu erau directionati catre alte pagini dubioase.

    1. Bianca Ionel

      septembrie 2, 2015 at 5:12 am

      Mă bucur că ai găsit ceva care să îţi fie de ajutor, legat de redirect, cred că foloseai o versiune de WordPress mai veche, un 3.0, ştiu că acolo apăreau acest gen de probleme. Hackerii au o imaginaţie foarte bogată şi orice slăbiciune o găsesc în site o atacă.

Leave a Reply

%d blogeri au apreciat:
Mai multe despre Digital marketing
Cum alegi o temă pentru site-ul tău?

Poate titlul va fi amuzant pentru o parte dintre voi, dar dacă în ultima perioadă nu m-aş fi confruntat cu...

Închide