Când vine vorba de securizarea unui site WordPress, există o mulțime de lucruri pe care le puteți face pentru a vă bloca site-ul pentru a preveni ca hackerii și vulnerabilitățile să vă afecteze blogul sau site-ul de comerț electronic. Ultimul lucru pe care vrei să-l întâmpini este să te trezești într-o dimineață pentru a-ți descoperi site-ul fără conținut.
În principiu, securitatea nu se referă la sisteme perfect sigure. Un astfel de lucru ar putea fi impracticabil sau imposibil de găsit și/sau întreținut. Totuși, ceea ce reprezintă securitatea este reducerea riscurilor, nu eliminarea riscurilor. Este vorba despre folosirea tuturor controalelor adecvate disponibile pentru dvs., în mod rezonabil, care vă permit să vă îmbunătățiți securitatea generală, reducând șansele de a vă face țintă, apoi să fiți piratat.
Hardening WordPress
Peste 38,8% din toate site-urile de pe internet din lume folosesc platforma CMS WordPress și, cu sute de mii de combinații de teme și pluginuri, nu este surprinzător faptul că există vulnerabilități și sunt descoperite în mod constant.
Distributed Denial of Service (DDoS)
Backdoors (SQL injection)
Vulnerabilitatea backdoor-ului oferă hackerilor pasaje ascunse ocolind criptarea securității pentru a avea acces la site-urile WordPress prin metode anormale – wp-Admin, SFTP, FTP, etc.
Odată exploatate, backdoors permit hackerilor să facă ravagii pe serverele de găzduire cu atacuri de contaminare între site-uri – compromitând mai multe site-uri găzduite pe același server.
Unul dintre cele mai vechi atacuri pentru infectare web este injectarea de interogări SQL pentru a efectua sau a distruge complet baza de date folosind orice formular web sau câmp de intrare.
După o intruziune reușită, un hacker poate manipula baza de date MySQL și, probabil, poate avea acces la contul dvs. de administrator WordPress sau pur și simplu își poate schimba acreditările pentru daune suplimentare. Acest atac este de obicei executat de hackeri amatori către mediocri care își testează în mare parte capacitățile de hacking.
Cum se desfășoară un atac de tip SQL Injection:
Cum să preveniți și să remediați injecția SQL și cum sa securizezi un site WordPress?
Utilizând un plugin pentru a identifica dacă site-ul dvs. a fost sau nu victima SQL Injection. Puteți utiliza Sucuri SiteCheck pentru a verifica acest lucru. Ca și plugin, noi folosim iThemes Security.
De asemenea, actualizați WordPress, precum și orice temă sau plugin despre care credeți că poate cauza probleme. Verificați documentația și vizitați forumurile de asistență pentru a raporta astfel de probleme, astfel încât să poată dezvolta o actualizare de cod.
Brute-force Login Attempts (conectare cu forță brută)
Încercările de conectare cu forță brută utilizează scripturi automate pentru a exploata parolele slabe și pentru a obține acces la site-ul dvs. Autentificarea în doi pași, limitarea încercărilor de conectare, monitorizarea conectărilor neautorizate, blocarea adreselor IP și utilizarea parolelor puternice sunt unele dintre cele mai simple și extrem de eficiente modalități de prevenire a atacurilor cu forță brută. Dar, din păcate, un număr de proprietari de site-uri WordPress nu reușesc să efectueze aceste practici de securitate, în timp ce hackerii pot compromite cu ușurință până la 30.000 de site-uri web într-o singură zi, folosind atacuri cu forță brută.
Cum să preveniți și să remediați atacurile cu forță brută
Evitarea Forței Brute este destul de simplă. Tot ce trebuie să faceți este să creați o parolă puternică care să includă litere mari, litere mici, cifre și caractere speciale, deoarece fiecare caracter are valori ASCII diferite și ar fi dificil să ghiciți o parolă lungă și complexă. Evitați să folosiți o parolă precum 1234 sau parola123.
De asemenea, integrați autentificarea cu doi factori pentru a autentifica de două ori utilizatorii care se conectează la site-ul dvs. Autentificarea cu doi factori este un plugin excelent de utilizat. După ultima actualizare WordPress, acest plugin vine la pachet cu tot nucleul. Activați-l și folosiți user și parola la prima autentificare și cod secret trimis pe mail pentru a doua.
Mallware
Codul rău intenționat este injectat în WordPress printr-o temă infectată, un plugin sau un script învechit. Acest cod poate extrage date de pe site-ul dvs., precum și introduce conținut rău intenționat care ar putea trece neobservat din cauza naturii sale discrete.
Programele malware pot provoca daune ușoare până la grave dacă nu sunt identificate și eliminate la timp. Uneori, întregul site WordPress trebuie reinstalat, deoarece a afectat nucleul. Acest lucru poate adăuga costuri la cheltuielile de găzduire, deoarece o cantitate mare de date sunt transferate sau sunt găzduite folosind site-ul dvs.
Cum să preveniți și să remediați programele malware și cum să securizezi un site WordPress?
De obicei, malware-ul își face loc prin pluginuri infectate și teme nule. Se recomandă să descărcați teme numai din surse de încredere care nu conțin cod rău intenționat.
Pluginuri de securitate precum Succuri pot fi utilizate pentru a rula o scanare completă și pentru a remedia o infectare malware. În cel mai rău caz, consultați un expert WordPress.
Cross-site Scripting (XSS)
Unul dintre cele mai frecvente atacuri este Cross-Site Scripting, cunoscut și sub numele de atac XSS. În acest tip de atac, atacatorul încarcă un cod JavaScript rău intenționat care, atunci când este încărcat în partea clientului, începe să colecteze date și, eventual, să redirecționeze către alte site-uri rău intenționate care afectează experiența utilizatorului.
Cum să preveniți și să remediați scripturile între site-uri și cum să securizezi un site WordPress?
Pentru a evita acest tip de atac utilizați validarea corectă a datelor pe site-ul WordPress. Utilizați igienizarea(sanitation) ieșirilor pentru a vă asigura că se introduce tipul corect de date. Pot fi folosite și pluginuri precum Prevenirea vulnerabilității XSS. Ca și plugin, noi folosim iThemes Security.
Dacă aveți acces la serverul de hosting și puteți edita fișiereul .htacces, vă oferim codul de protecție suplimentară. Acesta vă securizează la nivel de server.
Atenție! Copiați-l la sfărșitul codului, fără a modifica nimic altceva în fișier. Doar pentru programatori experimentați.
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
Distributed Denial of Service (DDoS)
Oricine a navigat pe net sau a gestionat un site web poate să fi dat peste infamul atac DDoS. Denial of Service Distribuit (DDoS) este versiunea îmbunătățită a Denial of Service (DoS) în care se fac un volum mare de solicitări către un server web, ceea ce îl face lent și, în cele din urmă, se blochează.
DoS este executat folosind o singură sursă, în timp ce DDoS este un atac organizat executat prin mai multe computere de pe tot globul. În fiecare an sunt irosite milioane de dolari din cauza acestui notoriu atac de securitate web.
Cum să preveniți și să remediați atacurile DDoS
Atacurile DDoS sunt dificil de prevenit folosind tehnici convenționale. Serverele de găzduire web joacă un rol important în protejarea site-ului dvs. WordPress de astfel de atacuri. Ca și plugin, noi folosim iThemes Security.
1 Comment
Claudiu
Un articol complet!