Notă: articolul, publicat inițial în 17.04.2015, este revizuit periodic și actualizat pentru ca tu să te bucuri de informații relevante și de actualitate. Nu uita, ne poți oricând împărtăși din propria ta experiență folosind secțiunea comentariilor din finalul articolului. Spor la citit!
Am observat in ultima perioada ca din ce in ce mai multe site-uri sunt virusate si utilizatorii lor intampina probleme cand vor sa le acceseze.
De aceea am extras cele mai uzuale masuri de securitate pe care le poti face proactiv pentru a securiza site-ul tau WordPress.
Asta nu inseamna ca te va proteja 100%, dar cel putin va face viata mai grea hackerilor care incearca sa iti sparga site-ul.
1. Niciodata nu folosi userul „admin” pentru rolul de administrator.
Aceasta este prima regula pe care trebuie sa o aplici proactiv pentru a proteja site-ul tau. E ca si cum ai pleca de acasa, inchizi usa dar lasi cheia in ea.
Multi oameni fac aceasta greseala si de aceea te rog sa urmezi pasii de mai jos pentru a o corecta:
1. Te logezi in adminul siteului.
2. Mergi la Utilizatori si apasa -> Adauga utilizator
3. Creaza un utilizator nou – cu cat este mai greu de ghicit cu atat mai bine
4. Foloseste o adresa de email la care ai acces. Daca vrei iti poti trimite parola la aceasta adresa de email
5. Adauga acestui utilizator drepturi de administrator
6. Deconecteaza-te din contul vechi si conecteaza-te cu noul user si noua parola.
7. Revii la Utilizatori si stergi userul admin. Ai grija ca atunci cand faci asta sa alegi optiunea de a atribui toate articolele care au fost deja create, noului user. In caz contrar vei pierde tot ceea ce ai creat pana atunci.
2. Alege o parola puternica formata din cifre, listere si caractere de minim 8 caractere
La fel ca in situatia folosirii unui nume de utilizator predefinit, poti sa iti compromiti securitatea site-ului prin utilizarea unei parole care este prea scurta sau prea evidenta. daca folosesti parole generice gen 123456 sau numele tau sau anul nasterii, trebuie sa o schimbi cat mai repede posibil.
Pentru lungimea parolei cel mai bine ar fi sa folosesti 15 caractere sau mai multe. Poti genera o parola folosing generatorul de mai jos.
Vei folosi o parola master atunci cand te conectezi in aplicatie.
In momentul in care introduci parola in wordpress la crearea contului acesta iti va spune gradul ei de securitate: slab, mediu sau puternic.
3. Ascundeti varianta de wordpress folosita
Utilizatorii de WordPress din cate am observat nu stiu cum sa faca update la ultima varianta, ori le este frica sa apeleze la aceasta solutie din cauza eventualelor incompatibilitati cu plugin-urile instalate. Chiar daca este o greseala sa nu faceti update la ultima varianta WordPress, o puteti ascunde de public pentru a nu mai parea vulnerabil si chiar incuraja eventualele atacuri. Puteti face aceasta modificare accesand fisierul “version.php” din interiorul folderului “wp-includes”. Modificarea o puteti face in line 25 (Ex: Line25: “$wp_version = ’3.0.5′;”).
4. Faceti update periodic la platforma wordpres, la tema cat si la pluginurile instalate
Asa cum spuneam este foarte important pentru a proteja site-ul tau WordPress, sa faci regulat update la platforma wordpress, la tema pe care ai ales-o si la pluginuri. Asa ca nu uita ca periodic sa intri in site la sectiunea „module > lista module – si vei gasi acolo toate pluginurile pe care le ai instalate. Cele care au o versiune noua disponibila vor afisa update-ul, trebuie doar sa apesi sa-l faca.
5. Instaleaza si activeaza teme si pluginuri doar din surse sigure
Stiu ca este tentant sa descarci o tema sau un plugin care este gratuit dupa un site necunoscut, dar nu intodeauna este cel mai indicat deoarece acestea pot fi prelucrate astfel incat dupa instalare sa iti infecteze site-ul.
Programatorii si firmele care au un renume vor urca ceea ce au lucrat pe site-ul WordPress.org astfel incat ceilalti sa poate aprecia. Noi recomandam site-uri cunoscute de genul Elegant Themes, WooThemes sau Theme Forest.
6. Foloseste un plugin anti spam
Este recomandat pentru cei care folosesc un blog unde oamenii vor comenta la articole. De aceea ai nevoie de o protectie anti spam la comentarii.
Altfel te vei trezi, foarte curand, cu foarte multe comentarii spam pe site-ul tau. Noi folosim Akismet si este gratuit pentru utilizatorii care au bloguri personale si organizatii nonprofit.
Pentru a-l instala e nevoie sa te conectezi pe Akismet.com si sa iei de acolo un API Key.
7. Limitarea accesului la folderul /wp-admin
Aceasta este o functie pe care daca o activati, protejati site-ul importiva conectarilor neautorizate la panoul de control.
Limitarea o puteti face prin introducerea unei comenzi in fisierul .htaccess. Restrictia se efectueaza cu ajutorul unei parole care va fi solicitata atunci cand incercati sa accesati www.numesite.ro/wp-admin.
Pentru a activa aceasta functie este nevoie sa va conectati in cpanel si sa alegeti din meniul de securitate functia “Password Protect Directories”.
Apoi bifati ca protejat folderul /wp-admin din cadrul site-ului dvs WordPress (public_html>wp-admin ).
8. Verifica in permanenta calculatorul tau ca este curatat de virusi si malware
Pentru a proteja site-ul tau WordPress sa fie infectat in primul rand va trebui sa te asiguri ca ai calculatorul de pe care lucrezi e curatat. Din experienta am avut 2 situatii:
1. clientii aveau calculatoarele virusate si cand au incarcat materiale pe site (poze, documente, etc) acestea fiind virusate au virusat automat si site-ul.
2. au descarcat de pe net poze sau alte materiale care erau virusate si pe care le-au urcat pe site si implicit site-ul s-a virusat.
Intotdeauna pastreaza antivirusul actualizat la zi cu ultimile semnaturi de antivirusi. Noi recomandam o varianta gratuita de la Microsoft numita Microsoft Essentials. Daca utilizezi Windows 7 ai optiunea sa il instalezi in versiunea de 32 sau 64 biti. Daca folosesti Windows 8 antivirusul este preinstalat pe calculator. Ce este important, este ca acesta este cu licenta original Windows si exista o compatibilitate sporita intre antivirus si programul de functionare al calculatorului.
Recomandarea noastra este sa il folosesti in 2 feluri:
1. actualizare zilnica a semnaturilor si programarea unei scanari totale a calculatorului cel putin o data pe saptamana
2. atunci cand descarci ceva de pe internet sa faci o scanare a pozei, a documentului etc. Acest lucru se poate facand click dreapta pe poze si alegi optiunea „Scan with Microsoft Security Essentials”. Abia dupa aceea faci upload in site.
In plus, pentru a fi sigur ca site-ul tau WordPress nu este accesat de persoane rau voitoare, poti alege instalarea unui plug-in de securitate. De exemplu, poti folosi cu incredere modulul Wordfence.
Cu ajutorul acestei extensii vei avea control total asupra procesului de log in. Pe scurt, vei putea schimba link-ul de accesare prestabilit pentru panoul de administrare WordPress. Astfel, in loc de clasicul /wp-admin vei putea seta orice alt link iti doresti. Si in acest fel acele programe care infecteaza in mod automat site-urile WordPress nu vor putea accesa calea invatata catre platforma pe care tu o folosesti.
Mai mult, plug-in-ul Wordfence iti va spune cand exista o tentativa de accesare neaturizata a site-ului si va furniza rapoarte lunare in legatura cu nivelul de siguranta si securitate de care se bucura website-ul tau.
Aceste sfaturi impreuna cu un back-up frecvent al site-ului va ajuta sa evitati eventualele problemele care apar in momentul virusarii acestuia atat pentru utilizator cat si pentru vizitatorii site-ului.
Securitatea este foarte importanta pentru ca evitarea acestor reguli minime poate afecta si clientii sau potentialii vostri clienti.
Nu uita sa citesti si despre certificatul SSL si despre cum il instalezi pentru site-ul tau.
Mai mult, afla cum o adresa IP dedicata si certificatul SSL influenteaza indexarea organica.
Pe curand,
Narcisa
