Folosești WordPress? Noi da, la fel ca mulți alți deținători de website-uri din România și din lume. Tocmai pentru că este o platformă atât de populară, hackerii au căutat mereu metode de a compromite siguranta acestei platforme.
În fiecare zi, site-urile realizate pe platformă WordPress sunt supuse unor atacuri cibernetice, de multe ori fără știința administratorului acestora.
Probabil ai observat și tu, la website-ul sau la blogul tău WordPress, că ai primit până acum comentarii și email-uri spam. Acestea sunt cele mai des întâlnite tipuri de atacuri. De asemenea, deseori site-ul tău este supus la încercări de completare a tuturor formularelor (inclusiv cel de înregistrare, găsit la adresa numesite.ro/wp-admin).
Fiind un subiect atât de important, am scris acest articol în completarea unui material publicat în trecut despre securizare site WordPress.
Pentru a preveni astfel de atacuri cibernetice și a-ți menține site-ul în siguranță, am pregătit o serie de sfaturi care, sper eu, te vor ajuta.
Sfaturi pentru siguranta site
#1 Alege un hosting de calitate
Dacă vrei să îți securizezi un website, trebuie să te asiguri de la început că firma de găzduire WordPress îndeplinește toate condițiile tehnice necesare.
Serverele utilizate de compania respectivă trebuie să fie foarte bine protejate. Este recomandat să folosească sisteme software antivirus / antimalware care să scaneze frecvent fișierele găzduite.
Asigură-te înainte de a alege hosting-ul că website-ul tău va fi păstrat în condiții de siguranta site și că vei avea parte de un uptime (timp în care site-ul este activ online) de 99,9%.
#2 Achiziționează un certificat SSL
Certificatele SSL sunt recomandate pentru orice website, chiar dacă este vorba despre un blog care nu procesează date cu caracter personal.
Acesta este menit să cripteze comunicația dintre server și browser-ul utilizatorului, ceea ce îngreunează munca oricărui hacker de a compromite sau de a fura datele transmise către site-ul tău.
Pentru orice website de companie, achiziționarea acestui certificat a devenit o recomandare importantă atât pentru SEO cât și pentru a crește încrederea utilizatorilor.
De aceea, am scris un articol mai detaliat despre ce este și cum se instalează un certificat SSL.
#3 Înlocuiește secțiunea de comentarii
După fiecare publicare a unui nou articol, este posibil să primești comentarii Spam.
Acestea NU trebuie niciodată aprobate, pentru că ele conțin link-uri care îți pot compromite site-ul și pot crea portițe de acces pentru hackeri.
Secțiunea de comentarii standard din orice temă WordPress este vulnerabilă. De aceea, o soluție ca să scapi definitiv de această grijă ar fi să înlocuiești secțiunea de comentarii WordPress cu comentariile Facebook sau cu Disqus, un instrument util pentru comentarii care poate fi instalat simplu, cu un plugin.
Acesta va solicita oricui dorește să comenteze să se înregistreze cu contul Gmail, Facebook sau alt cont setat de tine, astfel încât hackerii sau algoritmii creați de aceștia să nu poată lăsa comentarii Spam.
#4 Folosește parole puternice
Probabil ai văzut, când setezi o parolă pentru o adresă de email, că îți solicită să folosești cel puțin un caracter numeric și un caracter special. De asemenea, îți cere cel puțin 6 sau 8 caractere în total.
Așadar, vremea în care parolele erau „1234” s-a terminat.
Acum, cel mai probabil că vei avea nevoie de un document secret, doar al tău, unde să îți notezi parolele de la toate conturile, pentru că nicio parolă simplă, care poate fi ținută minte, nu mai e sigură.
De aceea, poți folosi generatoare de parole sau pur și simplu să introduci tu o parolă puternică, precum: SerWho$12#$%()!! sau ”!@#+($Dkspwp892sS@#$.
Acest tip de parole nu pot fi (cel puțin nu prin mijloacele din prezent), sparte de hackeri.
#5 Nu folosi username-uri evidente
La fel cum parola poate fi spartă, așa poate fi ghicit și numele de utilizator.
Atunci când instalezi platforma WordPress și o folosești pentru prima dată, utilizatorul standard pe care îl primești se numește „admin”.
Acesta este cel mai intuitiv nume de utilizator și trebuie folosit doar ca să îți creezi un alt nume special de administrator, pentru ca apoi să îl ștergi pe cel cu „admin”.
Păstrarea acelui nume de utilizator pe site-ul tău poate pune în pericol siguranta site a acestuia.
La fel, este recomandat să nu folosești un nume de utilizator care este similar cu numele site-ului, de exemplu: servhost, pentru acest website. Acela poate fi ușor de ghicit și atunci rămâne doar parola singurul tău zid de protecție între fișierele tale și hackerii din lumea online-ului.
#6 Instalează plugin-uri de securitate site
Nu ai nevoie de prea multe module de securitate pentru site-ul tău, însă iată două care ar fi suficiente să te poată ajuta:
- Stop Spammers: un plugin care are rolul de a bloca atacurile Spam atât în secțiunea de comentarii cât și prin formularele de contact și acces în site-ul tău;
- Wordfence Security: acesta are multiple funcții de securitate, inclusiv aceea de a îți scana site-ul după coduri malițioase și eliminarea acestora din fișierele tale.
Despre Wordfence, am realizat un tutorial video cu instalarea acestuia și recomandări de folosire:
#7 Efectuează back-up-uri frecvente
În mod normal, și firma de hosting care îți găzduiește site-ul realizează săptămânal copii de siguranță ale site-ului tău.
Însă, pentru că niciodată nu poți fi prea sigur, recomandăm să îți efectuezi propriile back-up-uri. Cel mai sănătos mod de a face acest lucru este pe cale manuală, cu ajutorul unui programator, dacă lucrezi cu unul.
Altfel, ai opțiunea folosirii unor plugin-uri, ca de exemplu VaultPress, recomandat pentru orice fel de website-uri, de la mici la mari.
#8 Efectuează actualizări la timp
Dacă folosești WordPress de ceva timp, probabil ai observat că este alcătuit din mai multe componente, realizate de programatori diferiți: platforma de bază, plugin-uri (module sau extensii) și teme.
Fiecare dintre acestea solicită, la un moment dat, actualizări. Dacă folosești mai multe plugin-uri, cu siguranță vei avea mai des de făcut update-uri.
Cele mai multe actualizări sunt menite să rezolve breșe de securitate și să îți protejeze site-ul, așadar nu ar trebui să te îndoiești înainte să actualizezi sau nu.
Singurul moment în care, poate, este bine să te consulți cu un programator sau să creezi un back-up, este înainte de actualizarea unor componente precum: platforma de bază sau tema.
#9 Nu instala (prea) multe plugin-uri
De-a lungul timpului, cele mai multe pătrunderi și spargeri ale unor site-uri WordPress au fost efectuate prin intermediul unor plugin-uri care aveau breșe de securitate.
De exemplu, chiar plugin-uri populare precum Revolution Slider sau Visual Composer au „deschis ușa” multor hackeri care au reușit să corupă un mare număr de website-uri, anii trecuți.
De aceea, recomandarea mea este să folosești plugin-uri doar dacă este absolut necesar. Dacă vrei să experimentezi cu un plugin și te decizi după aceea că nu vrei să îl păstrezi, dezinstalează-l și nu îl păstra în lista de plugin-uri active. Chiar și nefolosit, un plugin poate pune în pericol siguranța site-ului tău.
Mai multe despre plugin-uri recomandate am vorbit în articolul: Plugin-uri WordPress pe care trebuie să le folosești.
Sper că toate sfaturile mele să te ajute să îți menții în siguranta site-ul tău WordPress. Toate aceste sfaturi pot fi implementate fără ajutorul unui programator. Trebuie doar să ai abilități WordPress de bază și să știi unde să cauți sfaturi, în cazul în care te împotmolești la unul dintre pași.
Sunt convins că mai există și alte sfaturi de siguranta site pe care nu le-am trecut aici. De aceea, vreau să te întreb: tu ce alte metode de securitate mai folosești pentru site-ul tău WordPress?
Aștept cu drag să discutăm mai multe despre acest subiect.
Cu stimă,
Ninel