Dacă site-ul dvs. este spart, riscați să pierdeți date importante, active și credibilitate. În plus, incidentul poate pune în pericol datele personale și informațiile de facturare ale clienților dvs.
Este estimat că până în anul 2025 daunele cauzate de infracțiunile cibernetice pot ajunge până la 10,5 trilioane de dolari.
Conform bazei de date de vulnerabilități WPScan, cele mai comune tipuri de vulnerabilități de securitate WordPress sunt:
- Falsificarea cererilor încrucișate ( CSRF ) – obligă utilizatorul să execute acțiuni nedorite într-o aplicație web de încredere.
- Atacul de refuz de serviciu distribuit ( DDoS ) – incapacită serviciile online, inundându-le cu conexiuni nedorite, făcând astfel un site inaccesibil.
- Ocolire autentificare – oferă hackerilor acces la resursele site-ului dvs. fără a verifica autenticitatea acestora.
- Injecție SQL ( SQLi ) – forțează sistemul să execute interogări SQL rău intenționate și să manipuleze datele din baza de date.
- Cross-site scripting ( XSS ) – injectează cod rău intenționat care transformă site-ul într-un transportator de malware.
- Incluziunea fișierelor locale ( LFI ) – forțează site-ul să proceseze fișiere rău intenționate plasate pe serverul web.
Practici generale pentru îmbunătățirea securității unui site web WordPress
1. Actualizați-vă regulat versiunea de WordPress
Echipa WordPress este mereu în priză, ei lansează regulat actualizări noi pentru a îmbunătății performanța și securitatea platformei, prin urmare aceste actualizări vă ajută să vă protejați site-ul de amenințări cibernetice.
Deși este una dinre cele mai ușoare moduri de a îmbunătății securitatea site-ului tău, mulți utilizatori nu îi dau importanța cuvenită, aproape 50% ruleaza pe versiuni mai vechi de WordPress.
Dacă doriți să verificați versiunea de WordPress folosită de site-ul dvs. deschideți zona de administrare WordPress și navigați la Tabloul de bord -> Actualizări din panoul de meniu din stânga. Dacă arată că versiunea dvs. nu este actualizată, vă recomandăm să o actualizați cât mai curând posibil.
Pentru a fi la curent cu următoarele actualizări WordPress și a nu rata nici una, urmărește aici.
2. Actualizează temele și modulele instalate
Temele și pluginurile învechite pot intra în conflict cu software-ul de bază WordPress recent actualizat, provocând erori și fiind predispuse la amenințări de securitate.
Sfatul nostru: Dacă alegeți să apelați la actualizările automate ale modulelor să vă asigurați că faceți regulat copii de siguranță la care puteți reveni, pentru că uneori acest lucru ar putea să vă facă site-ul indisponibil din cauza incompatibilității dintre versiunile modulelor sau a temelor.
Pentrua vizualiza și activa temele și modulele cu versiuni mai vechi procedați astfel:
- Navigați la panoul de administrare WordPress și accesați Tabloul de bord -> Actualizări .
- Derulați în jos la secțiunile Plugin -uri și Teme și verificați lista de teme și plugin-uri pregătite pentru actualizări. Rețineți că acestea pot fi actualizate dintr-o dată sau separat.
- Faceți clic pe Actualizare pluginuri .
3. Conturi de utilizator cu parole puternice
Una dintre cele mai frecvent întâlnite greșeli este folosirea unui nume de utilizator ușor de ghicit ( ex: admin, administrator, test) și parole simple.
Încorporați numere, simboluri și litere mari și mici în parola dvs. De asemenea, vă recomandăm să utilizați mai mult de 12 caractere, deoarece parolele mai lungi sunt mult mai greu de spart.
Pentru a va crea un utilizator nou rmați acesti pași:
- Din tabloul de bord WordPress, navigați la Utilizatori -> Adăugați nou
- Creați un utilizator nou și atribuiți-i rolul de Administrator . Adăugați o parolă și apăsați butonul Adăugați un utilizator nou după ce ați terminat.
După ce creați un nou nume de utilizator de administrator WordPress, va trebui să ștergeți vechiul nume de utilizator de administrator. Iată pașii pentru a face acest lucru:
- Conectați-vă cu acreditările de utilizator WordPress nou create.
- Navigați la Utilizatori -> Toți utilizatorii.
- Selectați vechiul cont de administrator pe care doriți să îl ștergeți. Schimbați meniul drop-down Acțiuni în bloc la Ștergere și faceți clic pe Aplicare.
Sfatul nostru: Utilizați un VPN atunci când vă conectați de la o rețea publică.
Este foarte important să fți mereu atenți și la rețeaua de pe care vă conectați, rețelele publice, cum ar fi WiFi-ul unei biblioteci școlare, ar putea să nu fie atât de sigure pe cât par. Hackerii vă pot intercepta conexiunea și pot fura date necriptate, inclusiv datele dvs. de conectare.
4. Utilizați doar teme WordPress de încredere
Temele WordPress nulled(anulate) sunt versiuni neautorizate ale temelor premium originale. În cele mai multe cazuri, aceste teme sunt vândute la un preț mai mic pentru a atrage utilizatorii. Acestea, de obicei au multe probleme de securitate.
Vă recomandăm să alegeți o temă WordPress din temele oficiale sau de la dezvoltatorii de încredere. Ca alternativă, verificați temele de la terți în piețele tematice oficiale, cum ar fi ThemeForest, unde sunt disponibile mii de teme premium.
Adesea, furnizorii de teme nulled(anulate) sunt hackeri care au spart tema premium originală și au inserat cod malițios, inclusiv malware și linkuri spam. Mai mult, aceste teme pot conține backdoors(portițe) către alte exploatații care pot pune în pericol site-ul dvs. WordPress.
Este ilegal să distribui teme WordPress bulled(anulate), de aceea utilizatorii nu beneficiază de nici un fel de suport din partea dezvoltatorilor, ceea ce inseamnă că în cazul în care apar probleme sunteți pe cont propriu pentru a le rezolva și a vă securiza site-ul.
5. Certificatul SSL nu trebuie să lipsească
Secure Sockets Layer (SSL) este un protocol de transfer de date care criptează datele schimbate între site-ul web și vizitatorii acestuia, făcând mai dificil pentru atacatori să fure informații importante.
Un alt beneficiu este faptul că SSL ajută la optimizarea site-ului pentru motoarele de căutare (SEO), favorizând atragerea vizitatorilor.
Recunoaștem dacă un site folosește sau nu SSL prin faptul că folosește HTTPS în loc de HTTP și este prezentă iconița de lacăt închis în bara de navigare.
Majoritatea firmelor de hosting oferă și certificate SSL.
6. Ștergeți Modulele și temele WordPress pe care nu le utilizați
Deși un modul sau o temă nu sunt active pe site-ul tău, pot să fie dăunătoare pentru site-ul tău, mai ales dacă nu sunt actualizate, hackerii se pot folosi de acestea pentru a obține acces la site.
Urmați acești pași pentru a șterge un plugin WordPress neutilizat:
- Navigați la Module -> Module instalate .
- Veți vedea lista tuturor modulelor instalate. Faceți clic pe Ștergere sub numele modulului. (butonul de stergere este vizibil doar la modulele inactive)
Pentru a șterge o temă pe care nu o folosiți trebuie să procedați astfel:
- Din tabloul de bord WordPress, accesați Aspect -> Teme .
- Faceți clic pe tema pe care doriți să o ștergeți.
- Va apărea o fereastră pop-up, care arată detaliile temei. Faceți clic pe butonul Șterge din colțul din dreapta jos.