WordPress este o platrformă relativ sigură, dar paza bună nu strică niciodată aşa că una din datoriile unui blogger, de pe platforma WordPress, este aceea de a-şi securiza cât mai bine blogul. După ce ne-am familiarizat puţin cu regulile pe care un blogger ar cam trebui să le respecte în mediul online iată şi câteva sfaturi / idei de securizare a unui blog dezvoltat pe platforma WordPress.
Securizarea unui blog pe WordPress
1. Schimbaţi username-ul ”Admin”. Acest nume de utilizator este generat automat de WordPress, dar în mod evident, trebuie înlocuit cu unul nou. În caz contrar, mijlociţi pe jumătate posibilitatea hackerilor de a intra în contul vostru WordPress şi de a vă ataca blogul. Dacă blogul se numeşte ionica.ro nu puneţi în loc de “admin” username-ul “Ionică” pentru că e cam la fel de simplu şi predictibil pentru persoanele răuvoitoare.
2. Folosiţi parole puternice. Chiar dacă pare o chestiune inerentă, există totuşi bloggeri care folosesc parola automată generată de WordPress în timpul instalării. Aceasta este destul de puternică, dar cel mai indicat este să aveţi parolă proprie, cu caractere diferite (litere + cifre + alte semne) pe care să le combinaţi astfel încât voi să puteţi reţine destul de uşor parola – Nu uitaţi: “12345” sau “abcde” nu sînt parole.
3. Adăugaţi opţiunea CAPTCHA la pagina de login WordPress. Probabil cunoaşteţi deja semnificaţia acestui acronim care are ca scop stabilirea identităţii utilizatorului. Cu alte cuvinte, verifică dacă sînteţi o persoană sau un program de calculator. Este o metodă de precauţie în cazul unui atac malware.
4. Dacă nu agreaţi metoda cu CAPTCHA puteţi instala un plugin care limitează încercarile de logare la un număr pe care îl stabiliţi din setări. Puteţi astfel limita la două sau trei numărul de încercări, puteţi stabili perioada de timp în care nu se mai pot face încercări de logare (de la un minut la cateva ore). Nu puneţi valoarea 1 la numărul de încercări, pentru că din viteză sau neatenţie puteţi greşi chiar voi şi poate că nu vreţi să aşteptaţi 30 de minute pentru a putea încerca să vă logaţi din nou.
5. Protejaţi directorul “wp-admin”. Folosiţi un fişier .htaccess în directorul “wp-admin” pentru a permite accesul doar pentru anumite adrese IP (de acasă sau de la muncă, de exemplu), dacă acestea sînt statice, dar atenţie mare pentru că dacă obişnuiţi să vă accesaţi panoul de administrare al blogului din locaţii diverse, există riscul de a nu o mai putea face.
6. Restricţionați accesul pentru anumite persoane. Există internauţi periculoși ce pot fi detectaţi destul de ușor prin simpla lor activitate online. Bannaţi orice persoană care vi se pare suspectă, inclusiv spammeri, trolli sau alţi utilizatori ale căror comentarii sînt supărătoare pentru voi şi pentru vizitatorii blogului.
Pentru a bloca utilizatorii suspecţi, vizitaţi mai întâi acest site de unde puteţi descărca un plugin care vă permite opţiunea de blocare, prin crearea unei ”liste negre”.
7. Interziceţi accesul la plugin-uri. În cazul în care nu ştiaţi, dacă accesăm www.your-domain.com/wp-content/plugins/ dintr-un browser, se afișează toate plugin-urile utilizate pe blogul dvs. WordPress. Multe plugin-uri WordPress sînt destul de vulnerabile, iar un hacker s-ar putea folosi de aceste vulnerabilităţi pentru vă ataca blogul.
8. Faceţi un backup. Pentru a face o copie completă a blogului (teme, conţinut, plugin-uri, widget-uri etc.) este nevoie de mult timp, dar puteți opta pentru varianta simplă care implică doar conţinutul. Exista multe pluginuri de back-up atât free cât şi contra cost aşa că aveţi de unde alege. E bine să cautaţi un plugin care face un backup pentru întreg blogul şi poate de asemenea, să-l reconstituie sau să-l mute.
9. Actualizaţi versiunile WordPress. Erorile de securitate ale unei versiuni WordPress mai vechi, devin publice, odată cu lansarea unei noi versiuni, un motiv suficient de bun pentru a vă actualiza mereu WordPress-ul şi nu doar wordpress-ul ci şi toate pluginurile pe care le aveţi instalate. Folosiţi întotdeauna pluginuri care încă mai primesc actualizări / optimizări şi nu sînt abandonate de către autori.
10. Fiţi precauţi cu upload-urile. Dacă doriţi să încărcaţi un material audio-video, un plugin, o temă sau orice altceva dintr-o altă sursă, asiguraţi-vă că respectiva sursă şi materialele furnizate sînt sigure şi nu prezintă riscuri de infecţie.
Cam atât deocamdată despre securizarea unui blog dezvoltat pe platforma WordPress şi aşteptăm versiunea finală WordPress 4.0 pentru că deja a ajuns la beta 2, dar despre noutăţile pe care le va oferii WordPress 4.0 într-un alt articol.
S-o luam pe rand. Interzicerea accesului prin .htaccess direct nu e recomandata deoarece poate face anumite functii sa … nu mai functioneze.
Exista 1 plugin care rezolva absolut toate problemele mentionate de tine, si anume: iThemes Security (ex-Best WordPress Security)
Decat sa blochezi accesul cu htaccess, mai bine schimbi url-l la wp-admin. Poti bloca Ip-urile la 3 parole puse gresit, poti bloca ip-urile la cateva erori 404 (pagini ne-gasite, in caz ca vor sa caute url-ul pentru wp-admin).
Cat despre directorul plugins, daca nu exista deja, poti pune tu cate un fisier gol index.html in fiecare folder, ca sa restrictionezi accesul la root.
Si.. cam atat.
hai sa asteptam wordpress 4.0. Vor fi adaugate cateva lucruri interesante. oricum backup ul regulat este sfant.
Dupa parerea mea, backupul e obligatoriu si din partea userului. Cu toate ca firma de hosting imi face backup regulat la VPS-uri, le fac si eu de 2 ori pe saptamana , ca sa fiu sigur 🙂
Bun şi util material, Petre!
Util articol pentru bloggerii începători.
chiar ultimul articol scris de mine se referea sa la siguranta si securizarea wordpress-ului. din pacate in ultima vreme au fost destul de multe website-uri afectate… MailPoet si All in one SEO pack au avut vulnerabilitati, afectand peste 50.000 de website-uri (doar MailPoet) all in one seo pack-ul inca nu au facut publice detalii legate de numarul wordpress-urilor afectate.
legat de back-up, eu am un plugin care-mi trimite bk la db pe mail in fiecare seara.
In plus, acum sunt si alte lucruri pe care poti sa le faci. de exemplu sa-ti faca bk pe cloud, google drive sau dropbox.
Spatiul de pe Dropbox il folosesc doar pentru backup-ul blogului.
UpdraftPlus-Backup/Restore face zilnic backup la baza de date si odata pe samptamana la tot blogul.
user si pass puternice am… in rest nimic 🙂
ma gandesc sa fac cumva si sa schimb asta
Foarte util articolul! Multumesc pentru aceste idei!
Si firma de hosting reprezinta un mare + 😉 Dar util articol, felicitari cateva sfaturi le iau si eu in considerare.
Interesante idei. Cel mai sigur mod, sa nu folosesti multe pluginuri. Eu de exemplu folosesc doar 1-2 pluginuri simple, dar sigure.
Pentru cei care nu stiu cum sa schimbe wp-admin, userul si restul… o masura de buna de protectie este sa-si puna o parola direct pe folder-ul wp-admin. Din cPanel Password Protect Directories, dureaza 30 de secunde si e destul de eficienta.
Securizarea se poate face și la nivel de cod.. evitați temele de tipul nulled și mergeți pe ceva bun, tot odată aveți grijă să banați tările suspecte gen Arabia Saudită și etc de unde vin hackeri 😀
Nu vreau sa intru in polemica cu voi, insa va spun doar un lucru: multe dintre “metodele” de protectie enumerate mai sus, sunt cam “apa de ploaie” pentru un hacker…. nu vreau sa spun mai multe 🙂
Ca sa prezinti metodele de protectie reale, mai intai … trebuie sa fii hacker! Adica, sa intelegi tu (sa stii), cum poti sparge un site. Restul e can-can … 🙂
Folositi WPSCAN, achizitionati certificat SSL, schimbati linkul de logare – si multe alte metode prin care se poate securiza un blog! 🙂