Web Analytics

Setări de securitate pentru WordPress (partea I)

Acest articol am să-l dedic special bloggerilor care folosesc WordPress şi au propriul lor domeniu, implicit acces la cPanel. Unele sfaturi vor fi un pic mai dificile, pentru cei care nu au mai interacţionat până acum cu programarea, dar nu imposibile. Toţi ne dorim un blog cât mai securizat şi toţi ne dorim să dormim bine noaptea, fără să stăm cu grijă că se va trezi un hacker să ne strice toată munca şi inspiraţia adunată acolo. Să începem!

1. Fii la zi cu toate update-urile platformei, dar şi a pluginurilor folosite. În general fiecare update vine cu îmbunătăţiri şi ale patch-urilor privind securitatea. Nu întotdeauna există puncte vulnerabile uşor de descoperit, dar dacă există şi sunt rezolvate, este important să le avem şi noi actualizate. Aceste actualizări se pot face rapid, chiar din panoul de administrare WordPress, toţi vedem aceste notificări şi în general necesită doar un singur click.

2. Limitează numărul de autentificări nereuşite.  Uneori hackerii pot fi cei apropriaţi nouă, si pot crede că ne vor ghici parola din câteva încercări. În cele mai multe cazuri hackerii dezvoltă tot felul de scripturi care simulează autentificări şi diferite parole. Pentru a avea control asupra acestor lucruri, putem alege un plugin, precum Login LockDown , putem să alegem un număr de încercări eşuate pe care să-l agreem, default 3, iar IP-urile care depăşesc acest număr vor fi blocate pentru o oră. Noi putem schimba aceste setări şi putem bloca definitiv aceste IP-uri.

3. Nu folosi „admin” ca username şi alege o parolă care să conţină caractere speciale, majuscule, cifre şi litere. De la versiunea WordPress 3.0, putem să ne alegem chiar de la instalare orice username şi e recomandat ca acesta să nu fie „admin”, iar când vine vorba de o parolă complexă poţi folosi cu încredere orice generator de parole online, eu recomand Random Password Generator, dar mai puteţi găsi şi altele.

4. Foloseşte reCAPTCHA pentru a reduce spamul. reCAPTCHA este un sistem care ajută la identificarea oamenilor şi a roboţilor. Cu siguranţă ai întâlnit şi ştii despre ce vorbesc. Îţi aminteşti de acele căsuţe cu text, sau cu o simplă chestie de matematică pe care eşti nevoit să o rezolvi pentru a trimite un comentariu sau pentru a te autentifica pe un site? Dacă da, atunci aceea este o aplicaţie reCAPTCHA care ajută la îmbunătăţirea securităţii unui site și o poți instala și tu dintr-un plugin cu același nume.

5. Schimbă url-ul default pentru logarea în admin-ul WordPress folosind HC Custom WP-Admin URL. Acesta este un plugin de la WordPress care îți permite să schimbi url-ul din clasic (ex: www.site.ro/wp-admin) – „wp-admin” – cu orice îți dorești tu.

Şi cam aici se vor opri sfaturile mai simple, de acum vor urma sfaturi un pic mai complicate, ce implică şi un pic de cod şi fişiere de modificat. Vor fi sfaturi ce vor presupune o modificare a fişierului .htaccess, iar dacă nu aveţi datele de la cPanel, vă recomand să instalaţi WP Htaccess Editor.

6. Protejează tot ce implică partea de Admin a site-ului tău WordPress. Cum? Este important să restricţionăm cât mai mult accesul în zona de admin, uneori prin instalarea unui plugin care să nu permită înregistrarea altor utilizatori sau mai sigur prin limitarea accesului la un singur IP. Cred că te-am ameţit, nu? Hai că nu e aşa complicat.

Pentru cei care au un IP fix, trebuie să aflaţi ip-ul vostru, puteţi folosi un site gen whatismyipaddress.com, copiaţi IP-ul, de exemplu 95.76.230.154, deschideţi .htaccess şi copiaţi următoarele rânduri şi să schimbaţi IP-ul dat ca şi exemplu cu IP-ul vostru.

[su_note note_color=”#090909″ text_color=”#ffffff”]
<Files wp-login.php>
order deny,allow
Deny from all
Allow from 95.76.230.154
</Files>
[/su_note]

Aşa cum spuneam şi mai sus, dacă scrieţi din mai multe locaţii, puteţi adauga noi rânduri pentru acele IP-uri astfel:

[su_note note_color=”#090909″ text_color=”#ffffff”]
<Files wp-login.php>
order deny,allow
Deny from all
#IP-ul meu fix
Allow from 95.76.230.154
#IP-ul de la bunici
Allow from 75.76.230.154
#IP serviciu
Allow from 65.76.230.154
#IP colaborator
Allow from 55.76.230.154
</Files>
[/su_note]

7. Dezactivează posibilitatea accesării folderelor din temă. Hackerii obişnuiesc să acceseze folderele unui site pentru a găsi fişierele cu vulnerabilităţi şi pentru a le accesa şi implicit modifica. Tot ce trebuie să faci, este să copii o singură linie în fișierul .htaccess.

[su_note note_color=”#090909″ text_color=”#ffffff”]

Options -Indexes

[/su_note]

8. Blochează rularea de fişiere php în anumite foldere. Dacă hackerii au acces la anumite foldere gen wp-includes, uploads, wp-content, ei pot adăuga fişiere ce par a face parte din tema WordPress şi le pot rula. Pentru a evita acest lucru, tot în .htaccess trebuie adăugat acest cod:

[su_note note_color=”#090909″ text_color=”#ffffff”]

<Files *.php>
deny from all
</Files>

[/su_note]

9. Protejează wp-config.php – acesta este un fişier foarte important în cadrul unui WordPress, unde se află toate datele şi setările importante. Pentru a proteja acest fişier şi implicit site-ului adăugaţi, tot în htaccess următoarele:

[su_note note_color=”#090909″ text_color=”#ffffff”]

<files wp-config.php>
order allow,deny
deny from all
</files>

[/su_note]

10. Protejează și fișierul .htaccess – după cum putem observa în .htaccess putem face multe, dar e nevoie să fie şi protejat acest fişier, pentru că în mare parte de el depind multe setări de securitate a site-ului. Pentru acest lucru, trebuie să adăugăm tot în .htaccess următoarele rânduri:

[su_note note_color=”#090909″ text_color=”#ffffff”]

<Files ~ „^.*.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>

[/su_note]

Pentru moment mă voi opri aici cu sfaturile, dar lista cu setari de securitate pentru WordPress nu se oprește aici și voi continua cu sfaturile într-un următor articol, pe acceași temă, dar un pic mai avansat. Nivelul de complexitate va crește și vom face modificări și în alte fișiere. Dacă întâmpinați probleme, nu ezitați să îmi scrieți.

Leave a Comment

Adresa ta de email nu va fi publicată.