Pe langa faptul ca ti-ai pierde din credibilitate, ai putea pierde o gramada de munca/proiecte si articole importante daca site-ul sau blogul tau Wordpress ar fi hackuit. E trist sau chiar de speriat pentru unii, si datele arata ca este o problema destul de des intalnita.
Se estimeaza ca sunt 37.000 de site-uri hackuite zilnic. Da, zilnic. Desigur, de multe ori nu trebuie sa mergem cu gandul la scenarii din filme, si ajunge sa ne gandim la parolele usor de ghicit pe care unii utilizatori si le pun site-ului lor. Tinand cont ca Wordpress ‘tine’ mai mult de un sfert din site-urile prezente pe net, s-ar putea sa ai emotii.
Fara sa lungim nenecesar, hai sa vedem cele 7 lucruri pe care le poti aplica chiar tu, pentru a-ti imbunatati securitatea site-ului, blogului sau a magazinului tau ce ruleaza pe Wordpress – am incercat sa evit chestiile banale precum ‘ai grija sa nu ai virusi sau un keylogger pe pc-ul tau’ si sa mentin ideile lejer de executat si pentru un utilizator novice sau care nu are chef sa invete prea multe despre subiect dar vrea totusi sa nu aiba griji. Sa-i dam drumul!
0. Inainte de cele 7 lucruri pe care le poti aplica chiar tu:
Fa un backup. Mereu. Seteaza-ti in Cpanel sau Webuzo sa se realizeze automat la un interval de timp setat de tine un backup al instalatiei tale. La un moment dat iti va salva pielea. Sau macar stii ca esti protejat.
1. Actualizeaza-ti platforma si plugin-urile
NU se fac de-amorul artei aceste actualizari. Sunt eliminate probleme din cod, sunt rezolvate anumite vulnerabilitati, etc. Daca iti actualizezi solutia anti-virus, de ce nu ti-ai actualiza paltforma? Daca e din cauza anumitor batai de cap sau incompatibilitati, asigura-te ca faci o copie de siguranta in primul rand sau rezolva modificarile facute de tine, pentru a fi in ton cu cele mai bune practici Wordpress.
Noi cand facem un update la platforma unui client sau pentru noi, pierdem maxim 30minute. Desigur, totul vine testat de noi intr-un mediu de test inainte de a trece pe site-ul live.
Ca si un fel de bonus, de multe ori se adauga si functii noi odata cu update-urile.
2. Dezactiveaza editorul standard php
Wordpress are o functie la indemana de a edita fisierele din tema si pluginurile tale direct din panoul de administrare. In eventualitatea in care cine nu trebuie ajunge in panou, asigura-te ca nu are acces la editarea acestor fisiere, deoacere poate creea pagube mai mari decat ar putea face editandu-ti pagina sau stergand cateva articole.
Acest lucru poate fi facut editand fisierul ‘wp-config.php’ al instalatiei tale, adaugand la sfarsitul fisierului linia de cod:
define( 'DISALLOW_FILE_EDIT', true );
3. Ascunde-ti versiunea de Wordpress folosita
Standard, Wordpress afiseaza versiunea folosita. Acest lucru e util pentru cei rau intentionati, deoarece pot cauta exploituri sau vulnerabilitati pentru versiunea ta de Wordpress. Deci ii ajuti sa isi duca planul la capat.
Poti rezolva aceasta problema introducand la sfarsitul fisierului ‘functions.php’, urmatorul cod:
add_filter( 'the_generator', '__return_null' );
4. Verifica permisiunea fisierelor in Wordpress
Te poti autentifica prin ftp, sau File Manager-ul tau din Cpanel, pentru a verifica daca fisierele si folderele instalatiei tale Wordpress au permisiunile adecvate. Ca si regula, folderele ar trebui sa aiba permisiunea 755 iar fisierele permisiunea 644. Acest lucru le da batai de cap hackerilor cand doresc sa manipuleze sau editeze anumite fisiere de pe serverul tau, pentru a crea probleme.
5. Modifica modul in care este afisat numele tau
Cand comentezi sau scri un articol, Wordpress va afisa ‘nickname-ul’ adica porecla ta setata. Daca nu ai setat una, va fi afisat numele de cont prin care te autentifici in panoul de administrare. Acest lucru este considerat gresit deoarece, efectiv ii tai in jumate treaba celui care incearca sa iti compromita site-ul. Deja stie jumatate din datele de autentificare.
Deci schimba-ti porecla si numele afisat, incat sa fie diferit de username-ul cu care te autentifici in panoul de administrare.
6. Schimba-ti username-ul si parola
Orice ar fi, te rog, nu folosi admin si 123456 ca si parola sau username. Eu iti recomand sa folosesti o combinatie de caractere care nu are legatura cu tine sau cine esti, pentru a face mult mai grea treaba celor rau intentionati.
7. Limiteaza accesul la pagina de autentificare in admin
O metoda foarte puternica de securizare, este blocarea cu ajutorul fisierului .htaccess a oricarui ip, in afara de al tau, la paginile de autentificare.
ATENTIE! Trebuie sa ai un ip static. Doar nu vrei sa ramai blocat chiar tu in afara panoului de administrare, nu?
Fisierul care trebuie editat este numit ‘.htaccess’ si este posibil sa fie ascuns in mod standard in File Manager-ul din Cpanel. Pentru a-l vedea trebuie sa bifam abilitatea de a vedea fisierele ascunse.
La sfarsitul acestui fisier adaugam:
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^1.1.1.1$
RewriteCond %{REMOTE_ADDR} !^ 2.2.2.2$
RewriteCond %{REMOTE_ADDR} !^ 3.3.3.3$
RewriteRule ^(.*)$ - [R=403,L]
Inlocuiesti 1.1.1.1 – 3.3.3.3 cu ip-ul tau, si gata. Doar ip-ul setat de tine poate accesa pagina de autentificare. Mare atentie, daca ai ip dinamic(care se modifica la fiecare resetare a routerului), nu folosi acest cod.
Concluzii
Acestea sunt cele 7 lucruri pe care le poti aplica lejer. Doar daca aplici aceste idei, chiar si fara cea de-a 7ea(daca nu esti paranoia/ai motive serioase sa crezi ca cineva iti vrea raul n-are rost), securitatea instalatiei tale Wordpress ar trebui sa fie mult mai buna.
Daca vrei un plugin potent pentru a-ti imbunatati mai lejer securitatea, iti recomand cu cea mai mare caldura All In One WP Security & Firewall. Este gratuit, actualizat constant si functioneaza perfect cu ultima versiune de Wordpress.
In esenta, sper ca aceste sfaturi extrem de usor de aplicat te-au ajutat si ca le vei aplica. Nu neglija securitatea site-ului/magazinului/blogului tau, si nu vei avea stres pe viitor. Daca ti-a placut articolul sau crezi ca un prieten ar putea afla ceva nou, da-i un share/tweet si un like!
[social_buttons facebook=”true” twitter=”true” google_plus=”true” linkedin=”true”]
Daca ai intrebari, pareri sau alte iei usor de aplicat pentru Wordpress, te astept cu un comentariu mai jos. Daca vrei sa vezi un articol mai avansat pe tema asta, despre securitatea unui website/magazin online, sau un articol despre cum sa configurezi plugin-ul mentionat mai sus, nu ezita sa ne anunti.