S-ar putea să existe o mulțime de sisteme de management al conținutului în jur, dar niciunul dintre ele nu poate ține o lumânare pentru WordPress. Cu Peste 51.6 milioane de site-uri din martie 2020 (și crescând în fiecare zi) vă oferă o idee cât de mult superior și iubit este acest sistem. Securitatea WordPress și sfaturi utile pentru a preveni hackingul WordPress - CMS-ul mai are încă un drum de parcurs când vine vorba de securitate.
Cu toate acestea, dorim să vă ajutăm să vă asigurați site-ul de la început - este mai bine să preveniți decât să vindecați, așa că asigurați-vă că luați în considerare aceste sfaturi, în acesta, unul dintre numeroasele noastre tutoriale WordPress - AZI.
Aceste milioane de site-uri, totuși, se confruntă și cu atacuri serioase din partea copiilor cu scenarii care nu au nimic mai bun de-a face cu timpul lor, ci răspândesc mizerie în toată lumea, și alții cu motive mai nefaste și mai rău intenționate, actorii întunecați ai web-ului: Hackerii.
Este destul de obișnuit să te trezești într-o dimineață și să găsești site-ul tău, cândva frumos, plin de link-uri și text despre pastilele de mărire pe bază de plante, sau alte produse farmaceutice nesigure sau vreo cauză din Orientul Mijlociu.
A țipa incoerent este probabil primul curs de acțiune pe care îl vei lua atunci când site-ul tău găzduiește reclame pe toată pagina, link-uri și redirecționări către aspecte mai umbrite ale companiilor „farmaceutice”.
Dacă acest scenariu te îngrozește, este justificat să te simți așa.
90,000 de site-uri web sunt sparte în fiecare zi
Sursa: HostingFacts
Toată lumea vrea să prevină hackingul WordPress. Pentru că restaurarea și recuperarea unui site web poate necesita timp și efort serios.
Așa că întărește-ți site-ul web cu aceste bune practici de securitate WordPress, pentru a preveni acea soartă oribilă să ți se întâmple! Și da, va dura ceva timp și efort continuu pentru a evita atacurile de hacking.
Nu-ți place să-ți murdărești mâinile cu codul? Încerca iThemes security și lăsați-l să facă treaba murdară. Faceți clic pe acest link pentru a obține 25% REDUCERE până în mai 2024.
Dacă nu doriți să treceți prin multe probleme de fișiere, activarea diferitelor plugin-uri și o mulțime de alte lucruri pe care nu le înțelegeți cu adevărat - avem și o cale de ieșire ușoară pentru dvs. iThemes Security este cel mai bun plugin de securitate WP pentru a vă securiza și proteja site-ul.
Nu sunteți interesat încă de pluginurile WP? Citiți mai departe!
Vom lucra la ceva cod, dar mai întâi să ne ocupăm de elementele de bază ale problemelor de securitate a site-ului web. Incepand cu:
17 pași de securitate WordPress
1. Prevenirea hacking-ului WordPress începe cu stația de lucru
Acesta este primul și cel mai ușor de trecut cu vederea: computerul dvs.
Ar trebui să vă păstrați întotdeauna sistemul fără programe malware și viruși, mai ales dacă accesați internetul cu el (ceea ce sunteți, desigur). Protecția stației de lucru este și mai esențială atunci când efectuați tranzacții și aveți un site web deoarece este nevoie doar de un keylogger pentru a elimina cele mai dure site-uri.
Un keylogger va citi toate numele de utilizator și parolele tale și le va trimite hackerilor - ceea ce, desigur, va crea o mulțime de probleme și probleme pentru site-ul tău.
Rămâi în siguranță și actualizați în mod regulat sistemul de operare, software-ul și browserele de pe computer. Utilizați un serviciu antivirus bun. Fii atent la orice vulnerabilitate a sistemului tău și elimină-o înainte ca aceasta să devină o durere masivă. Dacă computerul dvs. începe să se comporte ciudat, să apară reclame și alte chestii suspecte, vă recomandăm să verificați înainte de a vă accesa site-ul
2. Instalați toate actualizările WordPress
De fiecare dată când o nouă versiune de WordPress este lansată, o face în mare fanfară și în mijlocul unui val de entuziasm.
Cei mai mulți dintre noi suntem încântați, pentru că, hei, functii noi! Hackerii sunt încântați pentru că vor merge instantaneu să verifice Note de versiune pentru securitate și întreținere. Din păcate, fiecare WordPress actualizarea aduce împreună cu descoperirea unui număr de vulnerabilități de securitate WordPress în versiunile mai vechi.
Cu fiecare nouă actualizare WordPress, primim funcții și upgrade-uri suplimentare, împreună cu o pagină care listează defectele de securitate din versiunea anterioară și remedierea acestora.
Pagina respectivă este practic o foaie de cheat pentru hackeri de pretutindeni. În cazul în care nu reușiți să actualizați la timp, acele defecte vor fi exploatate pentru a prelua site-urile din versiuni mai vechi (și site-ul dvs. ar putea fi printre acestea dacă nu actualizați).
Și dacă site-ul tău este spart, din păcate, va fi prea târziu pentru a găsi scuze pentru a nu actualiza la cea mai recentă versiune.
Așa că nu le da hackerilor șansa să se zvârnească. Instalați cea mai recentă versiune de WordPress de îndată ce este lansată.
Dacă ți-e teamă că îți va da peste cap site-ul, asigură-te că ai o copie de rezervă funcțională înainte de a actualiza. Versiunea actualizată va rezolva orice probleme de securitate care au existat în versiunea anterioară - și face un drum foarte lung pentru a preveni hackurile WordPress.
Doriți ca site-ul dvs. să fie actualizat automat? Consultați InMotion VPS pentru găzduirea dvs - au caracteristici excelente specifice WordPress, astfel încât să vă puteți actualiza site-ul automat de îndată ce sunt disponibile. Suntem pe un VPS InMotion și ne place!
3. Asigurați-vă că serverul dvs. de găzduire este securizat
Știați că până în 2019, aproximativ 54% dintre site-uri web încă folosesc PHP 5.x - o versiune a PHP care este la sfârșitul vieții și, prin urmare, nu primește nicio actualizare de securitate. Aceasta înseamnă că orice site care rulează pe PHP 5.4 este vulnerabil la hack-uri prin vulnerabilitățile software ale serverului. (Sursa Sucuri Hacked Website Report 2019)
Chiar și versiunea PHP 7.1 este la sfârșitul vieții de la 1 decembrie 2019. Versiunile vechi de software ca acestea nu mai sunt acceptate și au vulnerabilități care nu au fost corectate!
Aceste versiuni vechi de software sunt predispuse la hack-uri.
Dacă știți că site-ul dvs. web găzduiește pe PHP 5 sau posibil PHP până la 7.1, cereți gazdei să verifice dacă site-ul dvs. poate fi mutat la o versiune mai recentă a PHP.
Nu numai asta, ci și majoritatea site-urilor web/blogurilor sunt găzduite pe servere partajate. Practic, dacă un site de pe un server partajat este infectat, orice alt site este în pericol, cu privire laless de cât de sigur este site-ul/blogul altfel.
Vei fi spart din vina ta.
Exercițiu de gândire: ai fost vreodată într-o bucătărie cu supă? Vă puteți imagina unul și vă imaginați ce se întâmplă acolo? Dacă ești unul dintre cei suficient de norocoși care au scăpat de acea parodie, îți voi oferi o degustare (întâlnire de cuvinte). Gândiți-vă la tot ce s-a întâmplat de când bucătăria a luat ființă, se scurge și se sparge, se scurge și se stropește. Într-un server de supă, acele lucruri nu dispar niciodată. Ele devin o parte a bucătăriei.
Acum imaginați-vă că se întâmplă același lucru cu site-ul dvs. Un server de găzduire de la o companie care omite întreținerea și nu se actualizează la cele mai recente versiuni de software a devenit deja o bucătărie de supă.
În plus, dacă dvs. sau webmasterul dvs. găzduiți mai multe site-uri web împreună, fișierele, datele, site-urile și multe altele neutilizate se adună până când devin o amenințare pentru site-urile actuale.
Deci alege un de încredere și sigur gazdă.
VPS și găzduirea gestionată minimizează șansele de încălcare și sunt excelente pentru site-urile de comerț electronic. Dacă găzduirea partajată este suficientă pentru dvs., verificați securitatea acestora înainte de a vă abona pentru spațiu pe ele.
Asigurați-vă că verificați dacă își păstrează serverele întreținute în mod regulat și, de asemenea, se actualizează la cele mai recente versiuni de software. Acesta este un alt pas care ar trebui să fie pe lista dvs. de priorități dacă doriți să preveniți hackingul WordPress.
4. Utilizați Transmisii Securizate pentru a preveni interceptarea parolelor și a datelor
Într-o conexiune nesecurizată, datele pot fi interceptate și puteți fi piratat înainte de a putea spune „necriptat”.
Acesta este motivul pentru care ar trebui să vă concentrați pe conexiuni și criptări de rețea sigure: partea serverului, partea clientului și toate părțile. Găsiți o gazdă care permite criptarea SFTP/SSH pentru a vă proteja datele și informațiile de interceptări rău intenționate.
Site-ul dvs. ar trebui să aibă și un certificat securizat instalat și configurați astfel încât atunci când vă conectați, acreditările dvs. să fie transmise în siguranță.
5. Preveniți hackingul prin parole complexe
Sfat esențial: creați o parolă puternică și NU reutilizați NICIODATĂ parolele
Următorul nostru pas despre cum să protejăm WordPress de hackeri vorbește despre un subiect foarte clișiat: parolele.
Un număr uimitor de oameni cred că parolele lungi și complicate sunt supraevaluate și vor prefera ceva mai scurt și mai ușor de reținut; un fapt pe care hackerii îl cunosc și de care profită.
Nu există altă modalitate de a pune asta: o parolă bună puternică, compusă din litere, cifre și orice alte caractere valide va merge de fapt un drum lung pentru a vă proteja blogul.
Da Dar cu cât sunt mai multe caractere în parola ta, cu atât este nevoie de mai mult pentru a o sparge.
Este nevoie de mai mult timp pentru a sparge parole complexe lungi.
Ceea ce încerci să faci este să spargi tiparele cunoscute pentru a face hackingul dificil, dacă nu imposibil.
Orice detalii personale sau parole bazate pe acestea (cum ar fi zilele de naștere sau numele persoanelor) vor fi ușor de spart. Nu folosi cuvinte simple (respectless de lungime), fie parole numai cu litere, fie numai cu cifre.
Creați o parolă ușor de reținut, dar greu de ghicit pentru a preveni hackingul WordPress - dacă blogul dvs. este despre securitate, faceți-l ceva de genul apasămyWORDSand5ecurit!$
6. Păstrați-vă bazele de date în siguranță și izolate
Baza ta de date știe tot ce s-a întâmplat vreodată pe site-ul tău. Este o adevărată sursă de informații și asta o face irezistibilă pentru hackeri.
Codurile automate pentru injecții SQL pot fi rulate pentru a pirata baza de date a site-ului dvs. cu relativă ușurință. Dacă rulați mai multe site-uri/bloguri de pe un singur server (și bază de date), toate site-urile dvs. sunt în pericol.
După cum spune resursa de cod, cel mai bine este să folosiți baze de date individuale pentru fiecare blog/site și să le oferiți să fie gestionate de utilizatori separati. În termeni simpli, fiecare site web pe care îl găzduiți ar trebui să aibă propria sa bază de date și propriul utilizator de bază de date.
Doar acel utilizator al bazei de date ar trebui să aibă acces la baza de date.
Puteţi, de asemenea, revocă toate privilegiile bazei de date, cu excepția datele citite și scrierea datelor de la utilizatori care vor lucra doar cu postarea/încărcarea datelor și instalarea de pluginuri.
Nu este recomandat, însă, din cauza schimbarea schemei privilegii necesare în actualizările majore.
De asemenea, ar trebui să redenumiți baza de date (schimbându-i prefixul) pentru a direcționa greșit hackerii care își țintesc atacurile asupra acesteia. Deși acest lucru nu împiedică hackingul WordPress în sine, se asigură că, dacă orice baze de date sunt compromise, hackerii nu pot trece la următoarea instalare WordPress.
7. Ascundeți numele de utilizator și numele de administrator al site-ului dvs. web
Următorul despre cum să securizați WordPress de hackeri se referă la administratorul WordPress.
Lăsarea implicită WordPress neatinsă este practic solicitând pentru necazuri.
Este ridicol de simplu să găsești numele de administrator al site-ului tău dacă nu îl ascunzi în mod activ.
Tot ce are nevoie un hacker este să adauge ?autor=1 după adresa URL și persoana/membrul care apare este cel mai probabil administratorul. Imaginează-ți cât de ușor ar fi pentru hackeri să folosească forța brută odată ce găsesc numele de utilizator al administratorului.
Cum puteți preveni hacking-ul dacă lăsați atât de multe informații disponibile, pentru a face exploatarea mai ușoară?
Soluție pentru a descuraja hackurile WordPress: Ascundeți toate numele de utilizator cu acest cod în fișierul functions.php:
add_action('template_redirect', 'bwp_template_redirect');
funcția bwp_template_redirect()
{
dacă (este_autor())
{
wp_redirect( home_url() ); Ieșire;
}
}
Pagina ta de conectare este, de asemenea, ușor de accesat și nu doar pentru tine. Dacă adăugați pur și simplu wp-admin sau wp-login.php după adresa URL a paginii dvs. de pornire, completați numele de utilizator pe care l-am învățat de la ?author=1, tot ce rămâne este un pic de forțare brută sau ghicire până când o parolă este spartă.
Utilizați tehnica „securității prin obscuritate” și schimbați adresa URL a paginii de conectare pentru a face munca hackerilor un pic mai dificilă.
Pluginuri de securitate cum ar fi iThemes Security au o setare Ascundere autentificare care va elimina accesul ușor la autentificarea WordPress.
Încă o dată, efectuarea acestui pas simplu va ajuta foarte mult la prevenirea hacking-ului WordPress.
Nu sunteți sigur dacă puteți face față tuturor acestor lucruri?
Nevoie de ajutor? Aruncă o privire la iThemes Security Pro - un singur plugin și site-ul dvs. este în siguranță. Garantat. Faceți clic pe linkurile de mai jos pentru a vizita site-ul.
8. Preveniți hackingul prin pluginuri și trucuri de securitate WordPress pentru a proteja wp-admin
Wp-admin-ul dvs. este cea mai importantă parte a instalării dvs. WordPress - cea cu cea mai mare „putere”.
Din păcate, pagina de autentificare și directorul de administrare sunt disponibile tuturor: inclusiv celor cu intenții rău intenționate. Pentru a-l proteja și a opri atacurile de hacking, va trebui să muncești puțin mai mult.
iThemes Security
O parolă puternică, un alt cont de administrator (cu un nume de utilizator care este orice altceva decât 'administrator'), și folosind iThemes Security plugin pentru a redenumi link-urile de conectare va ajuta cu siguranță la prevenirea hackingului.
Finalizează comanda iThemes Security
Malcare
De asemenea, puteți întări garda în jurul administratorului cu pluginuri de securitate pentru site-ul web, cum ar fi Malcare.
Acest serviciu de 5 stele este unul pe care l-am descoperit destul de recent.
Malcare este dezvoltat de echipa din spate Blogvault, pe care l-am folosit deja și l-am găsit uimitor.
Cea mai recentă ofertă a acestora oferă un serviciu complet de securitate și de gestionare a site-urilor web. Oferă personal precum scanarea fișierelor pentru modificări de bază (pentru a detecta hackurile), curățare de urgență, un firewall încorporat pentru a opri traficul rău intenționat, actualizarea temelor și a pluginurilor direct din tabloul de bord și backup-uri cu un singur clic.
Cel mai bun este că vă puteți gestiona TOATE site-urile dintr-un singur tablou de bord, fără a fi nevoie să vă conectați la fiecare dintre ele individual.
Limit Login Attempts Reloaded
Cu un pic de cod cuplat cu încercări de conectare nelimitate, orice hacker va intra în cele din urmă.
Puteți restricționa numărul de încercări de conectare pe care orice utilizator poate să le efectueze în pagina de autentificare a administratorului Limit Login Attempts Plugin reîncărcat. Acesta va limita numărul de încercări de conectare pentru fiecare adresă IP, inclusiv a ta (cu cookie-uri de autentificare).
Really Simple SSL
Utilizați puterea SSL-ului privat pentru a securiza autentificarea, zona, postările și multe altele. Folosind Really Simple SSL conecteaza permite criptarea sesiunilor de conectare, ceea ce înseamnă că parola este dificil de interceptat.
Va trebui să obțineți un certificat SSL și să îl instalați pe serverul dvs. de găzduire. InMotion oferă certificate SSL gratuit pentru planurile lor de găzduire - așa că, dacă încă nu ai, poate este timpul să treci la InMotion pentru a obține și SSL-ul tău.
După ce ați confirmat cu furnizorul dvs. de găzduire că aveți SSL partajat, puteți activa pluginul.
Dacă preferați să nu utilizați un plugin, dar doriți să forțați SSL numai pentru autentificare, atunci adăugați acest cod în fișierul wp-config.php:
define('FORCE_SSL_ADMIN', true);
Acunetix Secure WordPress
Acest conecteaza este o soluție de securitate superbă în general, dar unele caracteristici cheie o fac și mai bună.
În primul rând, rulează o scanare de securitate a site-ului web. De asemenea, acordă o atenție deosebită măsurilor preventive, astfel încât să opriți de fapt hacking-ul WordPress în primul rând. Pentru a proteja zona de administrare, aceasta va elimina informațiile de eroare din pagina de conectare.
Poate că nu sună prea mult, dar mesajul de eroare îi ajută de fapt pe hackeri să afle dacă au făcut ceva corect. Eliminarea mesajului (hint) elimină acest avantaj.
Dacă doriți să evitați hackingul, configurați cel puțin unele dintre aceste pluginuri.
Sfat de top: restul articolului conține sfaturi avansate pentru securitatea site-ului web
Restul sfaturilor necesită modificarea instalării WordPress, ceea ce aduce un anumit risc. Dacă preferați să nu vă ocupați de instalarea dvs., poate doriți angajați un dezvoltator WordPress pentru a vă ajuta.
9. Cum să securizați WP prin wp-includes
Să clarificăm asta: the wp-include folderul este o parte de bază a WordPress. Ar trebui lăsat în pace, chiar și de tine. Și în niciun caz nu ar trebui să fie lăsată accesibilă potențialilor hackeri.
Pentru a preveni orice persoane/roboți rău intenționați să trimită scripturi nedorite direct în inima site-ului dvs. pentru a preveni atacurile de hacking.
Adăugați asta înainte #BEGIN WordPress în fișierul dvs. .htaccess:
# Blocați fișierele numai incluse.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
Rețineți că va trebui omite a treia regulă de rescriere dacă doriți ca codul să funcționeze pe Multisite.
10. Protejați-vă wp-config pentru o securitate îmbunătățită a site-ului web
Aceasta este una dintre problemele care este puțin controversată. Nu toată lumea este de acord cu acest lucru.
Indiferent dacă mutați sau nu wp-config.php în afara folderului rădăcină, nu se poate nega că un pic de ajustare a codului din acest fișier vă poate ajuta să vă întăriți site-ul și să îngreunați efectuarea hackurilor WordPress.
Nu sunteți sigur dacă puteți face față tuturor acestor lucruri tehnologice? Există unul plugin de securitate pentru a le guverna pe toate.
- Începe cu dezactivarea editarii fișierelor PHP din tabloul de bord, care este locul în care atacatorul se va concentra după piratarea printr-un punct de acces. Adăugați acest lucru la wp-config.php
define ('DISALLOW_FILE_EDIT', adevărat);
- $table_prefix este plasat înaintea tuturor tabelelor bazei de date. Puteți preveni atacurile bazate pe injecție SQL schimbându-i valoarea de la wp_ implicită. Aveți grijă dacă faceți acest lucru, va trebui să redenumiți orice tabel existent la noul prefix pe care l-ați setat.
$table_prefix = 'r235_';
- Mutați directorul wp-content din poziția sa implicită cu aceasta
define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content' );
define( 'WP_CONTENT_URL', 'https://example/blog/wp-content');
define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content/plugins');
define('WP_PLUGIN_URL', 'https://example/blog/wp-content/plugins');
Acum, dacă nu ești un dezvoltator, nu prea folosiți jurnalele de erori. Le puteți împiedica să fie accesibile cu aceasta:
error_reporting = 4339
display_errors = Dezactivat
display_startup_errors = Dezactivat
log_errors = Pornit
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Activat
ignore_repeated_source = Dezactivat
html_errors = Dezactivat
11. Faceți backup pentru site-ul dvs. (doar pentru orice eventualitate)
Aceasta este plasa de siguranță. O copie de rezervă este unul dintre primele lucruri de care veți avea nevoie pentru a vă restaura site-ul dacă sunteți piratat.
Faceți copii de rezervă ale site-ului dvs. cel puțin la fel de des cu cât executați întreținerea sau actualizați-l. Nu există nicio scuză pentru a fi lax în acest departament, nu atunci când există unele servicii excelente de backup și pluginuri care vor rula backup-uri automate pentru tine. Câteva sugestii pentru pluginuri includ:
- VaultPress,
- UpdraftPlus,
- WP-DB-Backup,
- BackupBuddy,
- etc
Texte Recomandate: Native vs plugin - backup WordPress folosind diferite metode
Creați un program și lăsați pluginul să facă restul.
Unele dintre aceste plugin-uri vin cu opțiuni de restaurare ușoare. Verificați pentru a vă asigura că pluginul face backup pentru întregul site, inclusiv pentru toate bazele de date și directoare. Deși acest lucru nu împiedică hackurile WordPress, vă oferă liniște sufletească să vă restaurați site-ul dacă se întâmplă ceva de neconceput.
12. Folosiți surse de încredere numai pentru descărcări
Dacă aveți un buget restrâns (și chiar dacă nu aveți), ați putea fi tentat de opțiunea de a obține gratuit toate caracteristicile și funcționalitățile pluginurilor/temelor premium: plugin-uri piratate sau crăpate.
Nu poți depăși un hacker dacă descarci lucruri premium din surse prost reputate sau neautorizate - se vor întoarce să te muște. Sunt prost reputați deoarece vor umple acele plugin-uri/teme „premium” legitime cu malware și vă vor lăsa să faceți restul.
Pluginurile sau temele sparte vor conține uși din spate ascunse, care le permit să preia controlul asupra site-ului dvs. după bunul plac. Folosind o astfel de descărcare va fi tot ce au nevoie pentru a transforma aspectul online al mărcii dvs. într-un poster uriaș pentru pastile de mărire - sau chiar mai rău, malware.
Site-ul dvs. va trece rapid pe lista neagră, chiar și din motoarele de căutare și browsere dacă conține malware.
Aceasta este o tactică cunoscută și foarte populară a hackerilor.
Temele și pluginurile piratate sunt pline de uși din spate și malware. Aceasta este una dintre cele mai ușor de rezolvat probleme de securitate WordPress. Cel mai bine este să alegeți o temă de încredere dintr-o sursă de încredere, cum ar fi cea pe care am analizat-o aici: Tema Avada
Chestii piratate, anulate sau sparte? Nu te deranja.
Sunteți bun cu directoarele oficiale de teme și pluginuri, așa că încercați să rămâneți la acestea. De asemenea, puteți avea încredere în surse precum ElegantThemes, Theme Forest, Code Canyon etc.
13. Asigurați-vă site-ul arătând ca un profesionist
Un începător este mai ușor de piratat.
Cel puțin, asta cred majoritatea hackerilor (nu incorect).
Schimbați toate setările implicite: postări, comentarii, nume de utilizator, nume de director etc.
Este mai ușor când configurați.
Dacă aveți deja WordPress-ul în funcțiune, accesați Setări > Diverse (în comenzile de administrare) pentru a schimba numele directorului. Acesta va fi un alt pas în eforturile dvs. de a opri problemele de securitate WordPress și de a face piratarea site-ului dvs. mult mai dificilă.
Pentru a ascunde versiunea de WordPress pe care vă aflați, amintiți-vă șterge /wp-admin/install.php și wp-admin/upgrade.php. Faceți un pas mai departe și eliminați meta generator tag (“”) de la wp-content/numele_temei_dvs./header.php. Ar trebui, de asemenea eliminați detaliile versiunii din fluxul RSS.
Pentru a face acest lucru, deschideți wp-includes/general-template.php. În jurul liniei 1860 veți găsi asta:
function the_generator ( $args) {
echo apply_filters('the_generator', get_ the_generator($args), $args). „\n”;
}
Adăugați un haș înainte 'ecou' comanda și ești sortat.
function the_generator ( $args ) {
#echo apply_filters('the_generator', get_ the_generator ($args), $type). „\n”;
}
14. Securitatea WordPress bună necesită permisiuni pentru fișiere bune
Regula de bază este 755 pentru directoare și 644 pentru fișiere.
Deși acest lucru poate varia în funcție de server și de tipul de fișier în cauză - în cele mai multe cazuri, ar trebui să lucrați foarte bine cu aceste permisiuni.
Cel mai bine ar fi să cereți gazdei dvs. să verifice sau, dacă aveți acces direct, puteți face acest lucru singur.
Pentru directoare:
găsiți /calea/la/dvs./wordpress/install/ -type d -exec chmod 755 {} \;
Pentru fișiere:
găsiți /calea/la/dvs./wordpress/install/ -type f -exec chmod 644 {} \;
15. Securitatea site-ului: Nu setați niciodată permisiunile pentru fișiere la 777
Dacă sunteți serios să doriți să opriți hackerii WordPress - NU setați NICIODATĂ permisiunea de fișier/director la 777 unless vrei să oferi control complet asupra acestuia tuturor, inclusiv hackerilor.
Există o tendință foarte periculoasă în rândul începătorilor de a seta permisiunile de fișier la 777, „pentru că este ușor”, sau „pentru că îl vom repara mai târziu”, sau „pentru că îl voi schimba mai târziu”.
Asta e extrem de periculos - 777 înseamnă că oricine de pe internet poate modifica conținutul acelui fișier.
Cu aceste permisiuni setate, site-ul dvs. este o casă deschisă. Odată ce au acces la un fișier, fiți siguri că este foarte ușor să treceți la alte fișiere sau să instalați uși din spate și alte lucruri urâte pe site-ul dvs.
Codexul WordPress are un ghid complet pentru permisiunile fișierelor: cum să le schimbi și permisiunile recomandate pentru unele fișiere.
Trebuie să echilibrați securizarea site-ului dvs. web cu funcționalitatea, așa că începeți la nivel scăzut și creșteți treptat permisiunile până când obțineți bine. Permisiunile corecte pentru fișiere vor ajuta cu siguranță la evitarea hackingului site-ului. Din nou, aceasta este una dintre problemele de securitate WordPress mai ușor de prevenit, trebuie doar să fii conștient de asta.
16. Permiteți accesul la administratorul WP și conectați-vă la IP-ul dvs. numai prin filtrarea IP
O modalitate foarte simplă și elegantă de a restricționa accesul la pagina de conectare și la zona de administrare este prin filtrarea IP.
Tot ce trebuie să faceți este să adăugați acest cod în .htaccess. Această sugestie vine cu mulțumiri lui Sucuri, care oferă un excelent serviciu de securitate WordPress
Comanda Respinge, Permite
Negați de la Toți
Permite de la [Adăugați adresa(e) dvs. IP aici]
Acum funcționează numai pentru IP-uri statice, dar puteți face același lucru pentru IP-uri dinamice cu asta:
Comanda Respinge, Permite
Negați de la Toți
Permite de la [Adăugați aici numele dvs. de domeniu]
Pentru a restricționa accesul la directorul wp-admin, adaugă asta la .htaccess:
Comanda Respinge, Permite
Negați de la Toți
Permite de la [Adăugați adresa(e) dvs. IP aici]
După numele domeniului:
Comanda Respinge, Permite
Negați de la Toți
Permite de la [Adăugați aici numele dvs. de domeniu]
Sursa: blog.Sucuri.net
17. Pluginuri de securitate pentru a bloca hackurile WordPress
Deși nu avem tendința de a susține utilizarea multor plugin-uri, atunci când vine vorba de Pluginuri de securitate WordPress, există unele pe care chiar ați dori să le instalați pentru a crește rezistența site-ului dvs.
- iThemes Security Pro - Ascultă, multe dintre acțiunile de mai sus sunt puțin tehnice, fără îndoială. Înțelegem asta. Dacă nu ești înclinat din punct de vedere tehnic, avem soluția pentru tine. iThemes Security este cel mai bun plugin de securitate WordPress pentru a vă securiza și proteja site-ul.
-
Instala Plugin WP Security Audit Log - acesta este cel mai cuprinzător plugin pentru jurnalul de activități WordPress. Pluginul păstrează o evidență a tot ceea ce se întâmplă pe site-ul dvs. WordPress într-un jurnal de audit (alias jurnal de activitate WordPress), astfel încât să țineți hackerii la distanță. Acest lucru se datorează faptului că puteți identifica încercările lor de atac înainte ca acestea să pirateze site-ul dvs. WordPress, având astfel timp să le împiedicați acțiunile rău intenționate.
Google Authenticator și Autentificare Duo cu doi factori sunt alegeri grozave pentru adăugarea unui strat suplimentar de protecție pe pagina de autentificare. Un cod de autorizare va fi trimis pe e-mailul/mobilul dumneavoastră, fără de care utilizatorul/hackerul nu se va putea autentifica.
Există ceva mai bun decât un grătar frumos? Acest plugin va bloca șirurile URI care conțin eval( baza 64 și alte șiruri de solicitare suspect de lungi.
Verificați-vă tema pentru malware și uși din spate ascunse cu acest plugin înainte ca cineva să exploateze aceste puncte slabe într-un site/blog altfel sigur.
- Plugin-uri antivirus
Acesta este o idee simplă. Efectuați scanări frecvente ale site-ului și eradicați-le înainte ca acestea să se instaleze. Pluginuri/servicii ca Sucuri, Wordfence, etc. Acunetix Secure WordPress menționat anterior este un alt bun. Exploat Scanner va verifica și site-ul dvs. pe dinafară pentru coduri rău intenționate.
Dacă sunteți interesat, am scris o comparație excelentă despre Sucuri vs Wordfence care îi compară cap la cap pe acești doi băieți mari.
Lista de verificare esențială pentru securitatea completă a site-ului - versiunea YouTube
Mulțumim lui Webucator, un furnizor de Instruire WordPress, am creat această listă de verificare ca videoclip.
Următoarea noastră parte a acestui articol se referă la remedierea unui hack de securitate WordPress, odată ce s-a întâmplat.
Site piratat? 7 pași pentru a vă restaura complet site-ul
Sucuri lansează un raport privind tendințele site-ului piratat pentru fiecare trimestru. În lor ultimul raport, au dezvăluit că diverse versiuni WordPress au alimentat 94% dintre site-urile piratate în 2019
Site-urile WordPress piratate rămân o problemă reală. Fiind cea mai populară platformă pentru crearea de site-uri web, posibilitatea de a fi piratată este semnificativ mai mare pentru site-urile WordPress.
Acest lucru nu este surprinzător, deoarece WordPress este de departe cea mai mare platformă pentru a crea site-uri web noi. Atâta timp cât WordPress rămâne popular, hackerii vor continua să găsească profitabil să caute vulnerabilități în site-urile WordPress. Este într-adevăr un joc de numere.
Și nu contează ce măsuri preventive iei; este imposibil să se garanteze securitatea perfectă pentru orice site web. Ceea ce puteți face este să îngreunați piratarea, astfel încât cei care caută fructe de jos să nu deranjeze sau să nu reușească să le spargă.
În acest tutorial, vă vom prezenta 7 pași pe care ar trebui să îi urmați pentru a repara un site WordPress piratat.
Înainte de a începe procedura, să aflăm în primul rând ce cauzează problema. În general, există două tipuri de vulnerabilități:
- Vulnerabilități comune și
- Vulnerabilități de securitate.
Să aruncăm o privire mai atentă la fiecare tip. Ambele tipuri pot fi exploatate de hackeri.
Înainte de a începe - restaurarea unui site web piratat nu este ceva ce poate fi întreprins de oameni fără cunoștințe suficiente. Este foarte recomandabil să ceri ajutor de la Dezvoltatori WordPress care sunt foarte calificați înainte de a încerca să facă acest lucru, dacă nu vă simțiți confortabil să lucrați.
Vulnerabilități comune care au ca rezultat piratarea site-urilor WordPress
Vulnerabilitățile comune pot veni fie de la mașina dvs. locală, fie de la furnizorul de găzduire. Cei mai mulți dintre noi sunt probabil familiarizați cu aceste tipuri de probleme.
Aceste probleme se pot întâmpla dacă computerul sau rețeaua locală sunt compromise. Când hackerii obțin acces la computerul dvs. sau la rețea, ei pot viza cu ușurință un site web pe care îl dețineți - rezultatul fiind un site WordPress compromis sau piratat.
Puteți evita aceste situații utilizând instrumente de scanare antivirus și anti-malware de încredere. Trebuie să aplicați bunul simț atunci când utilizați internetul. Comodo și Malwarebytes aveți câteva sfaturi utile pentru a vă proteja computerul de hackeri. Cele mai multe dintre acestea sunt destul de bun-simț dacă te gândești la ele, cum ar fi păstrarea software-ului actualizat atât pentru desktop-ul tău de lucru, cât și pentru periferice, cum ar fi routerul tău de internet.
Al doilea tip de vulnerabilitate poate apărea de la furnizorul dvs. de găzduire, mai ales dacă utilizați un pachet de găzduire partajată. După cum probabil știți, un pachet de găzduire partajată împarte serverul între numeroși utilizatori.
Dacă oricare dintre acești utilizatori nu respectă cele mai bune practici, întregul server este amenințat serios. Desigur, într-un scenariu de găzduire partajată, este foarte puțin probabil ca toți utilizatorii să folosească bune practici de securitate, astfel încât pachetele de găzduire partajată sunt, prin definiție, riscante.
În unele cazuri, un site dintr-un pachet de găzduire partajată este compromis și îi permite hackerului să se deplaseze lateral sau să salte pe alte site-uri de pe același server. În acest caz, trebuie să vă consultați cu furnizorul dvs. de găzduire, iar acesta va lua măsurile necesare.
Aceasta înseamnă că, chiar dacă site-ul dvs. este complet actualizat și protejat, este posibil să ajungeți în continuare cu un site piratat WordPress.
De altfel, dacă sunteți în căutarea unui furnizor de găzduire foarte sigur, ar trebui să vă gândiți serios să citiți Recenzie de găzduire InMotion - ne simțim foarte bine protejați de acest serviciu.
Acum că am identificat vulnerabilitățile comune, să aruncăm o privire asupra aspectelor de securitate.
Hacked prin vulnerabilități
Există mai multe tipuri de vulnerabilități de securitate pentru WordPress. Vom vorbi despre cele care sunt cele mai comune:
Combinații slabe de nume de utilizator/parolă
Nu ar trebui să vă spunem despre importanța utilizării unei parole sigure. De la versiunea 3.0, WordPress însuși s-a concentrat mai mult pe forțarea utilizatorilor să folosească o parolă puternică, de exemplu, există o funcție încorporată de detectare a puterii parolei în tabloul de bord administrativ.
Regula generală este că nu trebuie să utilizați niciodată un nume de utilizator previzibil (cum ar fi admin) și să folosiți întotdeauna parole puternice. Acestea vor îngreuna accesul hackerilor pe site-ul dvs.
Erori de temă/plugin și vulnerabilități
Deși este cea mai bună practică să folosiți teme și pluginuri familiare, uneori produsele populare pot avea un defect de securitate ascuns de asemenea. Dacă se întâmplă acest lucru, probabil veți auzi despre asta pe blogurile de știri IT populare și alte surse de informații despre securitatea WordPress.
Cu toate acestea, probabil că veți fi mai în siguranță dacă vă asigurați că utilizați numai teme sau plugin-uri de încredere - pentru că veți putea actualiza rapid la o versiune corectată. Consultați recenziile, evaluarea, numărul de descărcări etc. pentru a analiza fiabilitatea.
Și nu folosiți vreodată teme sau pluginuri piratate sau anulate. Este un fapt cunoscut că majoritatea acestora conțin cod dăunător, care creează o ușă în spate în site-ul tău. Aceasta este literalmente o modalitate de a avea control complet de la distanță a site-ului dvs.
În realitate, dacă utilizați o temă sau un plugin crăpat, piratat sau anulat, site-ul dvs. este DEJA piratat. Veți folosi un site care va începe brusc să facă lucruri ciudate, cum ar fi afișarea de link-uri suspecte, distribuirea de malware sau chiar să facă parte din atacurile DDoS.
Ceea ce crezi că este gratuit te va costa mult mai mult decât te aștepți.
Nu se actualizează nucleul, temele sau pluginurile WP
Utilizarea unei versiuni învechite a nucleului WordPress, a temelor sau a pluginurilor este un alt motiv major pentru încălcări care vor duce la piratarea site-urilor web. Cele mai multe actualizări includ cod care remediază securitatea și performanța site-ului dvs. web. Prin urmare, este necesar să vă actualizați site-ul web, temele și pluginurile de îndată ce acestea sunt disponibile. Asigurați-vă că efectuați o copie de rezervă completă a site-ului înainte de a actualiza.
Ce să faci când WordPress-ul tău este piratat?
Chiar dacă s-ar putea să fi luat măsuri pentru a atenua riscurile, s-ar putea să fi căzut totuși victima hacking-ului WordPress.
Nu intrați în panică și urmați pașii descriși mai jos.
1. Identificați tipul de hack
Soluția pentru a vă recupera site-ul depinde de tipul de hack WordPress. Asta înseamnă că primul pas este definirea tipului.
Iată întrebările pe care ar trebui să le pui pentru a face asta:
- Puteți accesa secțiunea de admin?
- Site-ul dvs. este redirecționat către alt site?
- Există vreun link(e) necunoscut(e) pe site-ul dvs.?
- Google avertizează vizitatorii despre site-ul dvs.?
- V-a informat furnizorul dvs. de găzduire că site-ul dvs. pare suspect?
- Site-ul dvs. afișează reclame necunoscute în antet, subsol sau în alte secțiuni?
- Sunt afișate ferestre pop-up nedorite?
- Există o creștere neașteptată a utilizării lățimii de bandă?
Parcurgeți întrebările una câte una și încercați să aflați răspunsurile pentru fiecare dintre ele. Acest lucru vă va ajuta să găsiți cel mai bun curs de opțiuni pentru a recâștiga controlul asupra site-ului dvs. WordPress piratat.
2. Încercați să restaurați din Backup
Dacă urmați cele mai bune practici, ar trebui să aveți copii de rezervă zilnice, săptămânale sau lunare ale site-ului dvs. Frecvența copiei de rezervă depinde de cât de des postezi sau faci modificări site-ului tău.
Când faceți copii de rezervă regulate, recăpătarea site-ului dvs. WordPress piratat este la fel de ușor ca restaurarea celei mai recente copii de rezervă. Dacă ați configurat o programare automată de backup, aflați ultima copie de rezervă înainte ca site-ul dvs. să fie spart și restaurați acea versiune.
Apoi, trebuie să vă asigurați că actualizați orice plugin, teme sau orice nu a fost actualizat.
Ce se întâmplă dacă nu ai face copii de rezervă ale site-ului tău? Asta înseamnă că ți-ai pierdut site-ul pentru totdeauna?
Nu, de fapt.
Există și alte opțiuni. Cele mai reputate servicii de găzduire păstrează copii de rezervă regulate ale site-urilor clienților lor. Întrebați furnizorul dvs. de găzduire dacă păstrează o copie de rezervă. Dacă au, le puteți cere să vă restaureze site-ul de la ultima copie de rezervă stabilă.
Dacă nu există o copie de rezervă, va trebui să parcurgeți o procedură de curățare a site-ului dvs. WordPress piratat, pe care o arătăm mai jos.
3. Căutați ajutor de la furnizorul dvs. de găzduire
Peste 40% dintre site-urile web piratate au avut o anumită vulnerabilitate de securitate pe platforma de găzduire. Prin urmare, atunci când vă piratați WordPress, să vă cereți furnizorului de găzduire să vă ajute să vă recuperați site-ul ar putea fi o idee bună.
Orice companie de găzduire web de încredere ar trebui să fie dispusă să vă ajute în aceste cazuri. Ei angajează profesioniști care se confruntă cu aceste situații în fiecare zi. Sunt foarte familiarizați cu mediul de găzduire și au acces la instrumente avansate de scanare a site-urilor web.
Prin urmare, ei vă vor putea ajuta să recuperați cele mai comune atacuri de hacking de site-uri web. Dacă hack-ul provine de la server, compania dvs. de găzduire vă va putea ajuta să recuperați site-ul.
4. Scanați pentru malware
În multe cazuri, hackerii obțin acces la site-ul dvs. prin utilizarea ușilor din spate. Ușile din spate creează puncte de intrare neautorizate pe site-ul dvs. Când folosesc ușile din spate, hackerii vă pot accesa site-ul web fără a necesita informații de conectare și rămân practic nedetectați.
Iată câteva locații comune ale ușilor din spate pe care trebuie să le verificați dacă site-ul dvs. a fost spart -
- Tematică: Majoritatea hackerilor preferă să pună ușa din spate într-una dintre temele tale inactive. Făcând acest lucru, aceștia vor avea în continuare acces la site-ul dvs. web, chiar dacă îl mențineți actualizat în mod regulat. Acesta este motivul pentru care este esențial să ștergeți toate temele inactive.
- Plugin-uri: folderul de pluginuri este un alt loc potențial pentru ascunderea codului rău intenționat. Există mai multe motive pentru asta. În primul rând, majoritatea oamenilor nu se gândesc niciodată la verificarea fișierelor plugin. De asemenea, preferă să nu actualizeze pluginurile atâta timp cât funcționează. În plus, există unele pluginuri prost codificate care ar putea fi exploatate pentru a obține acces neautorizat la orice site WP.
- Dosarul de încărcări: În majoritatea scenariilor, nu trebuie să vă deranjați niciodată să verificați folderul de încărcări, deoarece acel folder conține doar fișierele pe care le-ați încărcat. Cu toate acestea, unii hackeri preferă acest folder, deoarece pot ascunde cu ușurință fișierul rău intenționat printre sute sau mii de fișiere răspândite în foldere diferite. Deoarece folderul poate fi scris, își servește și scopul.
- Include Folder: Acesta este un alt folder adesea ignorat de majoritatea utilizatorilor. Drept urmare, hackerii pun ușa din spate în acest folder și obțin acces complet la site-ul tău.
- Fișier wp-config.php: Este foarte frecvent să găsiți cod rău intenționat ascuns în acest fișier. Cu toate acestea, deoarece fișierul este foarte cunoscut, hackerii sofisticați evită să folosească acest fișier.
Nu-ți place să-ți murdărești mâinile cu scripturi rău intenționate? Încerca iThemes security și lăsați-l să facă treaba murdară.
Singura modalitate de a scăpa de ușa din spate este eliminarea codului rău intenționat de pe site. Există mai multe plugin-uri care vă permit să vă scanați site-ul web pentru coduri rău intenționate.
Printre acestea, următoarele plugin-uri premium sunt alegeri excelente: iThemes Security, Sucuri Securitate, WPMUDev Defender sunt opțiuni grozave.
Următoarele sunt, de asemenea, opțiuni bune, dar rețineți că ambele nu au fost actualizate de mai mult de 3 ani de la actualizarea acestui articol. Aceasta înseamnă că s-ar putea să nu fie la fel de fiabile ca înainte: Exploat Scanner, și Verificator de autenticitate a temei.
Puteți utiliza aceste pluginuri gratuite pentru a detecta orice modificare nedorită a temelor, pluginurilor și fișierelor de bază ale site-ului dvs. Cu toate acestea, dacă sunteți serios să vă remediați site-ul, vă recomandăm să optați pentru unul dintre produsele premium.
Ele vor fi mai actualizate și mai fiabile în general decât oricare dintre produsele gratuite.
Dacă pluginurile găsesc vreun fișier suspect, faceți o copie de rezervă completă și ștergeți fișierul sau vedeți ce mod de acțiune sugerează pluginul. De asemenea, dacă faceți o copie de rezervă, asigurați-vă că rețineți că faceți o copie de rezervă a unui site piratat.
Și dacă o temă sau un plugin este compromis, eliminați-l de pe site-ul dvs. Descărcați cea mai recentă copie și încărcați-o pe site-ul dvs. web.
În cazul în care modificarea este detectată în oricare dintre fișierele de bază, ar trebui să descărcați o nouă instalare a WordPress și să efectuați o actualizare manuală (adică să suprascrieți toate fișierele cu cele noi).
Alternativ, descărcați o copie nouă a versiunii WordPress pe care o aveți în prezent și înlocuiți numai fișierele compromise.
5. Verificați utilizatorii WordPress
Este probabil să aveți mai mulți utilizatori pe site-ul dvs. După cum știți deja, aceștia au capacități diferite în funcție de rolul lor de utilizator.
Uneori, hackerii WordPress creează un utilizator nou cu permisiunile necesare, astfel încât să se poată conecta la site-ul tău chiar dacă pierd ușa din spate.
Sau pot folosi de fapt un nume de utilizator care are o parolă slabă pentru a vă sparge site-ul.
Pentru a preveni acest lucru, accesați Setări > Utilizatori din tabloul de bord. Examinați toți utilizatorii și rolurile acestora. De asemenea, resetați TOATE parolele tuturor utilizatorilor.
Cel mai important, asigurați-vă că niciun cont neautorizat nu are rolul de administrator atribuit. În cazul conturilor îndoielnice, ștergeți-le instantaneu. Dacă sunt utilizatori validi, puteți oricând să recreați conturile mai târziu.
Iată câteva dintre cele mai bune practici de urmat:
- Nu utilizați niciodată numele de utilizator „admin” pe site-ul dvs. Dacă aveți deja acel nume de utilizator, schimbați-l cât mai curând posibil. De asemenea, evitați să utilizați orice nume de utilizator comun pe care hackerii îl pot ghici.
- Utilizați autentificarea cu doi factori pentru a preveni accesul neautorizat la site-ul dvs. web.
- Integrați CAPTCHA sau reCaptcha în formularele dvs. de conectare. Integrați CAPTCHA sau reCaptcha în formularele dvs. de conectare. Aceasta este o modalitate eficientă de a preveni accesul roboților sau scripturilor automate pe site-ul dvs. web.
6. Schimbați cheile secrete
Cheile secrete sunt o caracteristică de securitate utilă a WordPress.
Aceste chei conțin text generat aleatoriu care ajută la criptarea informațiilor salvate în cookie-uri. Ar trebui să utilizați procedura de mai jos pentru a verifica dacă le aveți pe site-ul dvs. Dacă nu le aveți, le puteți crea.
Chiar dacă le aveți deja, dacă site-ul dvs. a fost piratat, acum este momentul potrivit să le schimbați.
În primul rând, generați un set de chei secrete folosind acest link. Generatorul de coduri aleatorii va crea un nou set de coduri unice de fiecare dată când reîmprospătați pagina.
Acum, accesați site-ul dvs. web și deschideți wp-config.php fişier. Îndreptați-vă spre linia 49 și veți vedea ceva de genul următor. Numărul rândului poate varia în fișierul dvs., dar trebuie să aflați următoarea secțiune:
Copiați și lipiți valoarea din cele pe care tocmai le-ați generat în linkul de mai sus. Salvați fișierul. Acest lucru va reseta orice cookie-uri și orice utilizator conectat, așa că dacă ați fost autentificat la administrator, vi se va cere să vă conectați din nou.
7. Schimbați-vă TOATE parolele
Acesta este un pas comun, dar critic în restaurarea unui site web WordPress piratat - resetați-vă toate parolele. Parolele comune includ WP admin, cPanel, MySQL, FTP etc.
Resetați toate aceste parole împreună cu parolele oricărui serviciu terță parte pe care îl utilizați pe site.
Iată cum se schimbă parolele:
- Pentru a schimba parola, accesați Utilizatori > Profilul dvs. din tabloul de bord. Veți găsi noul câmp de parolă în secțiunea „Gestionarea contului”.
- Pentru a schimba parolele cPanel, MySQL, FTP, conectați-vă la panoul de control al contului dvs. de găzduire și urmați opțiunile disponibile. Dacă sunteți confuz, contactați asistența pentru găzduire pentru a obține ajutor.
Când resetați sau schimbați parolele, asigurați-vă că utilizați acum o parolă puternică. De asemenea, ar trebui să forțați utilizatorii existenți să efectueze o resetare a parolei și pentru conturile lor.
Puteți utiliza pluginul Resetare parolă de urgență pentru a forța resetarea parolei pentru toți utilizatorii.
Pași viitori pentru a evita piratarea
Deși pașii menționați mai sus vă vor ajuta să vă restaurați site-ul, ar trebui să considerați acest lucru ca un semn de avertizare. Iată câțiva pași importanți pe care ar trebui să îi luați pentru a vă asigura că site-ul dvs. rămâne protejat în viitor de orice alte încercări de hack WordPress:
Creați un program de rezervă
După cum vă dați seama acum, este esențial să aveți copii de rezervă regulate ale site-ului dvs. Backup-urile vă pot salva dacă site-ul dvs. a fost piratat. Copierele de rezervă multiple sunt chiar mai bune, deoarece ți-ar permite să te întorci în timp la un instantaneu al site-ului înainte ca hack-ul să aibă loc.
Din fericire, nu trebuie să faceți acest lucru manual. Există o mulțime de plugin-uri gratuite și premium care vă ajută să păstrați copii de siguranță regulate ale site-ului dvs. UpdraftPlus este un plugin popular de backup, în timp ce BackupBuddy și Jetpack sunt câteva soluții de backup premium foarte recomandate.
Actualizați totul
Bănuim că nu trebuie să subliniem importanța menținerii site-ului dvs. actualizat. Ar trebui să actualizați nucleul WordPress, teme active, pluginuri și orice altceva există posibilitatea de a actualiza. În același timp, asigurați-vă că ștergeți și temele și pluginurile neutilizate.
Configurați un plugin de securitate
Dacă doriți să îmbunătățiți securitatea site-ului dvs. web, ar trebui să utilizați un plugin de întărire precum iThemes Security, Wordfence Security sau Defender. Aceste plugin-uri vă ajută să creați un firewall, astfel încât să puteți preveni traficul rău intenționat, să blocați atacatorii și să faceți față altor amenințări. Ați putea lua în considerare și instalarea unui firewall complet pentru aplicații web precum Sucuri firewall.
Luați în considerare o găzduire gestionată
Când alegeți o găzduire gestionată, ei se vor ocupa de securitatea, întreținerea, performanța și alte probleme pentru site-ul dvs. Asta înseamnă că nu va trebui să vă faceți griji cu privire la toți acești pași. Unii furnizori de găzduire gestionați de încredere includ InMotion, WPEngine, și Kinsta.
Limit Login Attempts
În mod implicit, WordPress permite oricui să încerce parole nelimitate pentru orice cont. Acest lucru duce la atacuri de forță brută și posibile vulnerabilități ale site-ului. Din fericire, există câteva plugin-uri gratuite, cum ar fi Conectați-vă LockDown și Securitate Logistică pentru a vă ajuta să limitați încercările de conectare.
Dezactivați execuția PHP
În cele mai multe cazuri, hackerii creează uși din spate creând fișiere PHP care arată ca fișiere de bază. Puteți preveni aceste amenințări dezactivând execuția PHP în directoarele relevante, cum ar fi folderul de încărcări și include. Iată un tutorial pas cu pas pentru a face asta.
Adăugați o parolă suplimentară pentru administrator
Un alt truc la îndemână pentru a vă păstra site-ul în siguranță este să utilizați o parolă suplimentară pentru accesarea secțiunii de administrare. Acest lucru este foarte ușor de făcut în cPanel. Urma acest tutorial pentru a adăuga parola în administratorul WP.
Preferi video? Urmărește acest videoclip de la Sucuri
Dacă aveți ceva timp pentru a parcurge următorul videoclip, care vă poate ajuta să identificați site-urile piratate WordPress și cum să le remediați. Am menționat Sucuri de câteva ori în acest articol, acest videoclip de la Sucuri este o imagine destul de completă a site-urilor piratate.
Cuvinte finale: cum să remediați site-ul dvs. piratat
A fi victima unui site piratat WordPress este o experiență oribilă, mai ales dacă este prima dată. Cu toate acestea, acum că ați citit acest articol, ar trebui să aveți o idee clară despre pașii necesari pentru a vă recupera site-ul piratat.
Simțiți-vă liber să marcați și să distribuiți acest articol pentru ca și alții să știe despre pași.
Linia de fund
Dacă sunteți confuz, alegeți o soluție de găzduire gestionată și lasă pe altcineva să se ocupe de asta pentru tine.
Acesta este doar începutul. Pe măsură ce web-ul continuă să evolueze, la fel și hackerii și încercările lor de a se infiltra pe site-ul dvs. și de a vă da afară. Rămâneți cu un pas înainte, învățând mai multe despre CMS-ul dvs. prietenos și ținând pasul cu actualizările și rămânerea la nivelul securității WordPress - acest lucru vă va asigura cu siguranță că preveniți piratarea site-ului.
Rămâi în siguranță.
Aveți nevoie de ajutor pentru a vă curăța site-ul? Încercați aceste concerte de top la prețuri accesibile pe Fiverr!
Click aici pentru a găsi experți pe Securitate WordPress.
Click aici pentru a crea un site-ul WordPress complet.
Te rugăm să ne contactezi lasa un util comentează cu gândurile tale, apoi împărtășește acest lucru grupurilor tale de Facebook care ar găsi acest lucru util și să profităm împreună de beneficii. Vă mulțumim că ați împărtășit și ați fost drăguți!
Dezvaluirea: Această pagină poate conține linkuri către site-uri externe pentru produse pe care le iubim și le recomandăm din toată inima. Dacă cumpărați produse pe care vi le sugerăm, este posibil să câștigăm o taxă de recomandare. Astfel de taxe nu influențează recomandările noastre și nu acceptăm plăți pentru recenzii pozitive.
si multe altele ...