WordPress: 10 cele mai bune practici în securitatea site-urilor web

Linux Post Install

Minute 10

WordPress: 10 bune practici în materie de securitate

WordPress: 10 bune practici în materie de securitate

WordPress (WP) este cunoscut sub numele de cel mai popular CMS, printre multe lucruri, fiind conceput cu accent pe accesibilitate, performanță și ușurință în utilizare, fiind în continuă dezvoltare (versiunea actuală 5.2), au o comunitate imensă de utilizatori în multe limbi și au o capacitate imensă de personalizare prin utilizarea temelor proprii sau a terților și a suplimentelor.

De asemenea, pentru a fi foarte sigur, dar pentru aceasta, ca în orice aplicație sau sistem, trebuie urmate bune practici pentru a realiza o implementare sigură pe termen lung. Și în această postare vrem să oferim câteva recomandări de bază în acest sens.

Introducere

WP fiind cel mai popular CMS pentru construirea de site-uri web, este, de asemenea, o țintă frecventă a atacurilor computerizate, deci, în afară de actualizarea sa constantă, necesită proceduri frecvente de întreținere, actualizare și securitate alin evitați astfel slăbiciunile datorate vulnerabilităților în programe de completare, parole slabe, software învechit, printre multe alte motive, adică atinge reduceți foarte mult vulnerabilitatea dvs. la orice atac intenționat sau neprevăzut.

În plus, WP ca orice alt sistem de management al conținutului (CMS) vă permite să construiți rapid și eficient un site web și apoi să îl puneți online. Capacitatea sa înaltă de muncă și creștere, prin module, teme complementare, face mai ușor ca niciodată realizarea acestei sarcini, dar fără a fi nevoie de anii lungi de învățare care sunt de obicei necesari pentru aceasta.

Sin embargo, un efect secundar nimic plăcut care poate rezulta din acest lucru, poate că unii manageri ai instrumentului menționat, de obicei bypass, măsurile necesare pentru a se asigura că site-ul web creat sau întreținut este sigur. Din acest motiv, este important să țineți cont de unele măsuri generale și specifice (bune practici), despre WP sau orice alt CMS și site-ul web pentru a-l păstra în siguranță.

Bune practici

1.- Consolidați-vă securitatea în general

WP cu siguranță depășește cu ușurință 30% din baza de site-uri web active pe internet astăzi, ceea ce îl face o țintă preferată pentru invadatori și / sau atacatori (hackeri / crackeri) cu intenții bune sau rele. Prin urmare, o vulnerabilitate cunoscută și exploatată cu succes pe un site WP similar va fi încercată pe alte site-uri WP similare.

WordPress: prima bună practică

Deci, dacă gestionați și / sau utilizați unul sau mai multe site-uri web cu WP, asigurați-vă că sunteți mai atent, mai detaliat și conștient de securitatea lor online. Rețineți că majoritatea încălcărilor de securitate analizate și raportate pe site-urile web cu WP au avut puțin sau nimic de-a face cu nucleul aplicației în sine, dar au mult de-a face cu tot ceea ce ține de implementarea, configurarea și întreținerea generală a acesteia, efectuate incorect de către dezvoltatori sau administratori. '

WordPress: a doua bună practică

2.- Cunoaște-ți vulnerabilitățile

WordPress are aproximativ 4.000 de vulnerabilități de securitate cunoscute, distribuite după cum urmează: WP Core (37%), pluginuri (52%) și teme (11%), potrivit unui raport recent de pe site-ul web WPScans, care acum este numit WPSec (din 01-05-2019). Investigați vulnerabilitățile de securitate cu care se confruntă site-ul dvs. web și găsiți o soluție pentru a rezolva aceste probleme. Evitați să rulați versiuni nesigure ale WP Core sau ale pluginurilor și temelor sale.

Concentrați-vă pe următoarele subiecte de securitate de pe WP sau site-ul dvs. web, adică pe Diferitele tipuri de Atacuri de la:

  • Forta bruta: Consolidarea securității pe pagina dvs. de autentificare.
  • Includerea fișierului: Consolidarea securității fișierului de configurare wp-config.php.
  • Injecție SQL: Consolidarea securității bazei de date MySQL asociate cu WP.
  • Scripturi pe mai multe site-uri: Consolidarea securității pluginurilor WP folosite.
  • Infecție malware: Consolidarea securității generale a site-ului dvs. web pentru a preveni accesul neautorizat, inserarea de programe malware și colectarea ulterioară de date confidențiale de către aceste coduri malware. Cele mai frecvente malware sau atacuri sunt de obicei de tipul: Backdoor, SEO Spam, HackTool, Mailer, Defacement și Phishing. Căutați să vă protejați site-ul împotriva fiecăruia dintre aceste tipuri de malware sau atac.

Amintiți-vă că odată ce orice site web este compromis, clasamentul său SEO poate avea de suferit. Deoarece motoarele de căutare tind să înregistreze rapid site-uri web compromise, astfel încât browserele fie să ofere vizitatorilor semne de avertizare, fie să blocheze complet capacitatea de a naviga pe aceste site-uri.

WordPress: a treia bună practică

3.- Cunoașteți infrastructura furnizorului dvs. de găzduire

Dacă site-ul dvs. web utilizează găzduire externă, adică angajat în afara infrastructurii dvs., nu economisiți costurile pentru a asigura calitatea serviciilor de la furnizorul dvs. de găzduire. Mai presus de toate, dacă își găzduiește site-ul sub schema „găzduire partajată”.

ca „găzduirea partajată” de calitate slabă poate face site-ul dvs. mai vulnerabil când unul dintre diversele site-uri web stocate pe același server este compromis. Adică, dacă un site web este piratat pe un server cu „găzduire partajată”, atacatorii pot avea acces și la alte site-uri web și la datele lor.

WordPress: a patra bună practică

4.- Cunoașteți especificații tehnice web de la furnizorul dvs. de găzduire

Când vine vorba de evaluarea unui furnizor de găzduire, infrastructura acestuia nu este totul. Specificațiile web tehnice utilizate de furnizorul dvs. de găzduire pentru a asigura o mai bună securitate a site-urilor web găzduite sunt, de asemenea, importante. Asigurați-vă că respectă următoarele recomandări de securitate recomandate pentru găzduirea site-ului dvs. web:

  • Instalarea ușoară a certificatelor SSL
  • Gestionarea activă a versiunilor de software pentru server web.
  • Paravan de protectie
  • Înregistrarea accesărilor la site
  • Audituri de securitate de rutină
  • Detectarea activității dăunătoare
  • Suport pentru SFTP (nu doar FTP), TLS 1.2 și 1.3 și pentru PHP 5.6, cel puțin, deși 7.0 este recomandat.

Toate acestea sunt necesare, cel puțin, pentru a crește securitatea site-ului dvs. web cu sau fără WP ca un CMS folosit.

WordPress - Teme și pluginuri: pluginuri

5.- Feriți-vă de temele și complementele utilizate

Pluginurile și temele instalate contează foarte mult la nivel de securitate. Obiectivul este de a utiliza doar teme și plugin-uri oficiale WP sau comunitare, depozite comerciale bine cunoscute sau direct de la dezvoltatori de renume. Întrucât multe dintre ele (necertificate) pot conține cod rău intenționat.

Nu contează cât de mult vă protejați site-ul web de WP dacă instalați malware-ul. Faceți cercetările înainte de a descărca și instala orice teme și pluginuri sau site-ul web al dezvoltatorului sau promotorului și faceți rezervările cu cele gratuite sau cu reducere.

WordPress: a patra bună practică

6.- Încercați să vă actualizați CMS frecvent

Actualizările platformei dvs. web sunt foarte importante pentru securitatea dvs. dacă WP-ul dvs. CMS sau nu, versiunile învechite ale Core, Theme sau plugin-uri vă pot conduce la adăpostirea vulnerabilităților cunoscute pe site-ul dvs. web. În cazul WP, care este open source, există o echipă special dedicată acestei probleme în cadrul nucleului aplicației.

Fiecare vulnerabilitate de securitate descoperită în WP este corectată și eliminată imediat pentru a rezolva fiecare nouă problemă de securitate descoperită în WP. Din cauza acestei actualizări WP și toate temele și pluginurile sale la cea mai recentă versiune este o componentă vitală a unei strategii de securitate de succes.

WordPress: a patra bună practică

7.- Am găsit o parolă potrivită

Calitatea sau puterea parolelor noastre de pe site-uri web este foarte importantă. Conectarea la site-urile noastre web este o țintă preferată pentru exploatarea vulnerabilităților, deoarece oferă cel mai ușor acces la pagina de administrare a site-ului dvs. web.

Atacurile cu forță brută sunt cea mai comună metodă de exploatare a datelor de conectare, descoperind combinațiile de nume de utilizator și parolă pentru a avea acces la site-ul web. În cazul specific al WP, implicit nu limitează numărul de încercări de conectare eșuate pe care cineva le poate face, prin urmare, cea mai recomandată este utilizarea unei parole complexe pentru autentificarea administratorului WP.

Atunci când alegeți o parolă, luați în considerare aceste 3 cerințe fundamentale pe baza formatului CLU (Complex, lung, unic):

  • COMPLEX: Parolele trebuie să fie cât mai aleatorii posibil și să fie cel mai puțin legate de administratorul web sau de site-ul web.
  • LUNG: Parolele trebuie să aibă 12 sau mai multe caractere în lungime. Și întărit cu restricții sau limitări privind numărul de încercări eșuate de conectare.
  • NUMAI: Nu refolosiți parolele. Fiecare parolă trebuie să fie unică în timp. Această regulă simplă limitează dramatic impactul oricărei parole compromise.

recomandare: Utilizați un manager de parole precum „LastPass” (online) și „KeePass 2” (offline) pentru a genera și stoca toate parolele într-un format criptat.

WordPress: a 7-a bună practică

8.- Pregătiți-vă întotdeauna planul anti-dezastru

Dacă utilizați WP, amintiți-vă că nu are un sistem de backup încorporat. Includeți una ca prioritate, astfel încât să aveți întotdeauna o copie de rezervă actualizată a site-ului dvs. web. Backupurile sunt critice și o strategie generală de securitate de implementat.

Nu uitați că nu ar trebui doar faceți o copie de rezervă a site-urilor și bazelor de date utilizatedar tot setările a întregului server prin sarcini automatizate cu script sau sisteme de imagine clonate, pentru a facilita restaurările și reinstalările necesare în cel mai scurt timp posibil.

WordPress: a 8-a bună practică

9.- Sporiți-vă securitatea folosind 2FA

Consolidați datele de conectare ale administratorului WP sau site-ul dvs. web utilizând mecanismul de autentificare cu doi factori (2FA), care este una dintre cele mai bune modalități de securizare a site-ului dvs. web astăzi. Autentificarea cu doi factori adaugă un strat suplimentar de protecție la datele de conectare de pe site-ul dvs., cerând ca utilizarea parolei dvs. să necesite un cod suplimentar sensibil la timp de la un alt dispozitiv, cum ar fi smartphone-ul dvs., pentru a vă conecta cu succes. .

În cazul WP care nu oferă această funcționalitate în mod implicit încorporați același lucru folosind un plugincum ar fi iThemes Security pentru a adăuga același lucru.

WordPress: a 9-a bună practică

10.- Folosiți orice accesorii de securitate necesare

Majoritatea CMS, cum ar fi WP, folosesc plugin-uri pentru a crește potențialul de securitate al lor. În cazul specific al WP, se recomandă utilizarea pluginului de securitate numit iThemes Security. pentru a adăuga și mai multă protecție site-ului dvs. web. Acest plugin blochează WP, remediază găurile cunoscute, oprește atacurile automatizate și întărește acreditările utilizatorului.

Are o versiune gratuită (iThemes Security) și o versiune cu plată (iThemes Security Pro) ceea ce oferă în mod evident mai multe funcții de securitate precum 2FA, scanări programate de malware, înregistrarea utilizatorilor, printre altele.

Concluzie

Indiferent dacă este vorba de WP sau de un alt CMS, puteți evita majoritatea problemelor de securitate a site-ului web urmând doar aceste bune sau bune practici de securitate. Site-ul dvs. web merită și trebuie să dispună de măsurile de securitate necesare pentru a garanta sau minimiza inviolabilitatea acestuia în aceste vremuri atât de tulburate de activitatea hackerilor și a crackerilor.

În sfârșit și ca o completare, vă recomandăm să citiți acest alt articol pe blogul nostru pe această temă pentru a consolida securitatea site-ului dvs. web, numit: Permisiuni Linux pentru administratori de sistem și dezvoltatori.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.