Ghidul Suprem de Securitate WordPress – Pas cu Pas (2026)

Fiecare proprietar de site web se teme de momentul în care își dă seama că site-ul său ar putea fi vulnerabil la hackeri. O singură breșă de securitate vă poate deteriora instantaneu reputația și veniturile obținute cu greu.

S-ar putea să vă îngrijorați că protejarea site-ului dvs. necesită instrumente costisitoare sau abilități avansate de codare, dar acest lucru pur și simplu nu este adevărat. Majoritatea măsurilor de securitate sunt, de fapt, destul de ușor de aplicat.

Am petrecut peste 16 ani testând plugin-uri și rafinând strategii pentru a menține WPBeginner în siguranță de atacurile zilnice. Folosim aceste metode exacte pentru a ne proteja propriile proiecte.

În acest ghid, vă vom prezenta lista noastră completă de securitate pentru a vă ajuta să vă securizați site-ul web și să dormiți liniștiți.

Deși software-ul de bază WordPress este foarte sigur și este auditat în mod regulat de sute de dezvoltatori, există încă multe lucruri de făcut pentru a vă menține site-ul securizat.

La WPBeginner, credem că securitatea nu înseamnă doar eliminarea riscurilor. Este, de asemenea, despre reducerea riscurilor. Ca proprietar de site web, există multe lucruri pe care le puteți face pentru a vă îmbunătăți securitatea WordPress, chiar dacă nu sunteți cunoscător de tehnologie.

De aceea am creat o listă de verificare a securității WordPress cu pași acționabili pe care îi puteți urma pentru a vă proteja site-ul împotriva vulnerabilităților de securitate.

Pentru a face lucrurile mai ușoare, am creat un cuprins care să te ajute să navighezi prin ghidul nostru suprem de securitate WordPress:

Cuprins

Bazele securității WordPress

• De ce este importantă securitatea WordPress
• Păstrați WordPress actualizat
• Folosiți parole puternice și permisiuni de utilizator
• Înțelegeți rolul găzduirii WordPress

Securitatea WordPress în pași simpli (fără codare)

• Instalați o soluție de backup WordPress
• Instalează un plugin de securitate WordPress reputabil
• Activați un firewall pentru aplicații web (WAF)
• Mutarea site-ului dvs. WordPress pe SSL/HTTPS

Securitatea WordPress pentru utilizatorii DIY

• Schimbă numele de utilizator implicit al administratorului
• Dezactivare editare fișiere
• Dezactivați execuția fișierelor PHP în anumite directoare WordPress
• Limitează încercările de conectare
• Adaugă autentificare în doi factori (2FA)
• Schimbați prefixul bazei de date WordPress
• Protejați prin parolă pagina de administrare și de conectare WordPress
• Dezactivați indexarea și navigarea prin directoare
• Dezactivați XML-RPC în WordPress
• Deconectare automată a utilizatorilor inactivi în WordPress
• Adăugați întrebări de securitate la autentificarea WordPress
• Scanează WordPress pentru malware și vulnerabilități
• Reparare Site WordPress Hacked

Gata? Să începem.

De ce este importantă securitatea site-ului web

Un site WordPress compromis poate cauza daune serioase veniturilor și reputației afacerii tale. Hackerii pot fura informații și parole ale utilizatorilor, pot instala software malițios și chiar pot distribui malware utilizatorilor tăi.

Mai rău, s-ar putea să vă treziți plătind răscumpărări hackerilor doar pentru a vă recăpăta accesul la site-ul dvs. web.

În fiecare zi, Google avertizează milioane de utilizatori că un site web pe care încearcă să-l viziteze ar putea conține malware sau să fure informații.

Mai mult, Google blacklist-ează mii de site-uri în fiecare zi pentru malware sau phishing.

Așa cum proprietarii de afaceri cu o locație fizică sunt responsabili pentru protejarea proprietății lor, proprietarii de afaceri online trebuie să acorde o atenție sporită securității lor WordPress.

[Înapoi sus ↑]

Păstrați WordPress actualizat

WordPress este un software open-source și este întreținut și actualizat în mod regulat. În mod implicit, WordPress instalează automat actualizări minore.

Pentru versiuni majore, trebuie să inițiezi manual actualizarea.

WordPress vine, de asemenea, cu mii de pluginuri și teme pe care le poți instala pe site-ul tău. Aceste pluginuri și teme sunt întreținute de dezvoltatori terți, care lansează în mod regulat actualizări.

Aceste actualizări WordPress sunt cruciale pentru securitatea și stabilitatea site-ului tău WordPress. Trebuie să te asiguri că nucleul, plugin-urile și tema WordPress sunt actualizate.

[Înapoi sus ↑]

Folosiți parole puternice și permisiuni de utilizator

Cele mai frecvente tentative de hacking WordPress folosesc parole furate. Cu toate acestea, puteți face acest lucru dificil folosind parole mai puternice și unice pentru site-ul dvs. web.

Nu vorbim doar despre zona de administrare WordPress. Amintește-ți să creezi parole puternice pentru conturile tale FTP, baze de date, conturi de găzduire WordPress și adrese de e-mail personalizate care folosesc numele de domeniu al site-ului tău.

Mulți începători nu le plac parolele puternice, deoarece sunt greu de reținut. Lucrul bun este că nu mai trebuie să rețineți parole, deoarece puteți folosi un manager de parole.

Vezi ghidul nostru despre cum să gestionezi parolele WordPress pentru mai multe informații.

O altă modalitate de a reduce riscul este să nu oferi nimănui acces la contul tău de administrare WordPress decât dacă este absolut necesar.

Dacă ai o echipă mare sau autori invitați, asigură-te că înțelegi rolurile și capabilitățile utilizatorilor în WordPress înainte de a adăuga noi conturi de utilizator și autori pe site-ul tău WordPress.

[Înapoi sus ↑]

Înțelegeți rolul găzduirii WordPress

Serviciul tău de găzduire WordPress joacă cel mai important rol în securitatea site-ului tău WordPress. Un furnizor bun de găzduire partajată precum Hostinger, Bluehost sau SiteGround ia măsuri suplimentare pentru a-și proteja serverele împotriva amenințărilor comune.

Iată doar câteva dintre modalitățile prin care companiile bune de găzduire web lucrează în fundal pentru a vă proteja site-urile web și datele:

• Monitorizează continuu rețeaua lor pentru activități suspecte.
• Toate companiile de găzduire bune au instrumente pentru a preveni atacurile DDoS la scară largă.
• Aceștia își mențin software-ul serverului, versiunile PHP și hardware-ul la zi pentru a preveni hackerii să exploateze o vulnerabilitate de securitate cunoscută în versiunile mai vechi.
• Aceștia au planuri de recuperare în caz de dezastru și accident gata de implementare, care le permit să vă protejeze datele în cazul unui accident major.

Pe un plan de găzduire partajată, împărțiți resursele serverului cu mulți alți clienți. Există riscul de contaminare inter-site, unde un hacker poate folosi un site vecin pentru a vă ataca site-ul web.

În contrast, utilizarea unui serviciu de găzduire WordPress gestionată oferă o platformă mai sigură pentru site-ul tău.

Companiile de găzduire WordPress gestionată oferă backup-uri automate, actualizări automate WordPress și configurații avansate de firewall pentru a vă proteja site-ul web. Adesea, ele se ocupă de multe dintre sarcinile tehnice de securitate de pe această listă pentru dvs.

Recomandăm SiteGround ca furnizor preferat de găzduire WordPress gestionată. Au suport receptiv, servere rapide și o fiabilitate excelentă.

Asigură-te că obții cea mai bună ofertă folosind cuponul nostru special SiteGround.

[Înapoi sus ↑]

Securitatea WordPress în câțiva pași simpli (fără codare)

Știm că îmbunătățirea securității WordPress poate fi un gând terifiant pentru începători, mai ales dacă nu ești tehnic. Ghici ce – nu ești singur.

Am ajutat mii de utilizatori WordPress în întărirea securității WordPress.

Vă vom arăta cum puteți îmbunătăți securitatea WordPress cu doar câteva clicuri (fără a fi necesară codarea).

Dacă poți indica și face clic, poți face asta!

1. Instalați o soluție de backup WordPress

Backup-urile sunt prima dvs. linie de apărare împotriva oricărui atac WordPress. Amintiți-vă, nimic nu este 100% sigur. Dacă site-urile guvernamentale pot fi sparte, atunci și al dvs. poate.

Backup-urile îți permit să restaurezi rapid site-ul tău WordPress în cazul în care se întâmplă ceva rău.

Există multe plugin-uri de backup WordPress gratuite și plătite pe care le poți folosi. Cel mai important lucru pe care trebuie să-l știi când vine vorba de backup-uri este că trebuie să salvezi în mod regulat backup-uri complete ale site-ului într-o locație la distanță (nu pe contul tău de găzduire).

Recomandăm stocarea acestuia pe un serviciu cloud precum Amazon, Dropbox sau cloud-uri private precum Stash.

În funcție de cât de des vă actualizați site-ul web, setarea ideală ar putea fi fie o dată pe zi, fie backup-uri în timp real.

Din fericire, acest lucru poate fi realizat cu ușurință folosind plugin-uri precum Duplicator, UpdraftPlus sau BlogVault. Ambele sunt fiabile și, cel mai important, ușor de utilizat (nu necesită codare).

Pentru mai multe detalii, vezi ghidul nostru despre cum să faci backup site-ului tău WordPress.

[Înapoi sus ↑]

Instalează un plugin de securitate WordPress reputabil

După backup-uri, următorul lucru pe care trebuie să-l facem este să configurăm un sistem de audit și monitorizare care să țină evidența a tot ceea ce se întâmplă pe site-ul dvs. web.

Aceasta include monitorizarea integrității fișierelor, încercările eșuate de conectare, scanarea malware și multe altele.

Din fericire, poți rezolva acest lucru cu ușurință instalând unul dintre cele mai bune plugin-uri de securitate WordPress, cum ar fi Sucuri.

Trebuie să instalezi și să activezi plugin-ul gratuit Sucuri Security. Pentru mai multe detalii, te rugăm să consulți ghidul nostru pas cu pas despre cum să instalezi un plugin WordPress.

Acest lucru vă limitează riscul, dar strict vorbind, plugin-ul gratuit este pentru monitorizarea și scanarea securității, nu un firewall.

Acum, puteți accesa Sucuri Security » Dashboard pentru a vedea dacă pluginul a găsit probleme imediate cu codul dvs. WordPress.

Următorul pas pe care trebuie să-l faceți este să navigați la pagina Sucuri Security » Settings și să faceți clic pe fila „Hardening”.

Setările implicite funcționează bine pentru majoritatea site-urilor web, așa că puteți continua și le puteți activa făcând clic pe butonul „Aplică întărirea” pentru fiecare opțiune.

Acest lucru vă ajută să securizați zonele cheie pe care hackerii le folosesc adesea în atacurile lor.

După pasul de întărire, celelalte setări implicite ale pluginului sunt suficiente pentru majoritatea site-urilor web și nu necesită modificări.

Singurul lucru pe care îl recomandăm să îl personalizați sunt alertele prin e-mail, care pot fi găsite în fila „Alerte” din pagina de setări.

În mod implicit, veți primi o mulțime de alerte prin e-mail care vă pot aglomera inbox-ul.

Recomandăm activarea alertelor doar pentru acțiunile cheie despre care doriți să fiți notificat, cum ar fi modificările de pluginuri și înregistrările de utilizatori noi.

Acest plugin de securitate WordPress este foarte puternic, așa că parcurge toate filele și setările pentru a vedea tot ce face, cum ar fi scanarea malware, jurnalele de audit, urmărirea încercărilor eșuate de conectare și multe altele.

Pentru mai multe informații, puteți consulta recenzia noastră detaliată Sucuri.

Activați un firewall pentru aplicații web (WAF)

Deși pluginul gratuit pe care l-am instalat în pasul anterior vă ajută să vă monitorizați site-ul pentru probleme, acesta nu poate bloca atacurile în timp real. Pentru asta, aveți nevoie de un Web Application Firewall (WAF).

Utilizarea unui WAF este cea mai ușoară modalitate de a vă proteja site-ul și de a fi încrezător în securitatea WordPress.

Un firewall pentru site-uri web blochează tot traficul malițios înainte ca acesta să ajungă la site-ul dvs. web.

• Un firewall pentru site-uri web la nivel DNS direcționează traficul site-ului dvs. web prin serverele sale proxy cloud. Acest lucru îi permite să trimită doar trafic autentic către serverul dvs. web.
• Un firewall la nivel de aplicație examinează traficul odată ce ajunge pe serverul dvs., dar înainte de a încărca majoritatea scripturilor WordPress. Această metodă nu este la fel de eficientă ca firewall-ul la nivel DNS în reducerea sarcinii serverului.

Pentru a afla mai multe, consultați lista noastră cu cele mai bune pluginuri de firewall pentru WordPress.

Am folosit Sucuri pe WPBeginner timp de mulți ani și încă îl recomandăm ca unul dintre cele mai bune firewall-uri pentru aplicații web pentru WordPress. Recent am trecut de la Sucuri la Cloudflare deoarece aveam nevoie de o rețea CDN mai mare cu funcționalități care se concentrau mai mult pe clienții enterprise.

Puteți citi despre cum Sucuri ne-a ajutat să blocăm 450.000 de atacuri WordPress într-o lună.

Cea mai bună parte a firewall-ului Sucuri este că vine și cu o garanție de curățare a malware-ului și de eliminare a listelor negre. Asta înseamnă că dacă ai fi fost spart sub supravegherea lor, ei garantează că îți vor repara site-ul, indiferent de câte pagini ai.

Aceasta este o garanție destul de solidă, deoarece repararea site-urilor web compromise este costisitoare. Experții în securitate percep, în mod normal, peste 250 USD pe oră, în timp ce puteți obține întregul stack de securitate Sucuri pentru 199 USD pe an.

Acestea fiind spuse, Sucuri nu este singurul furnizor de firewall la nivel DNS disponibil. Celălalt concurent popular este Cloudflare. Consultați comparația noastră Sucuri vs. Cloudflare (Avantaje și Dezavantaje).

[Înapoi sus ↑]

Mutarea site-ului dvs. WordPress pe SSL/HTTPS

SSL (Secure Sockets Layer) este un protocol care criptează transferul de date între site-ul dvs. web și browserul utilizatorului. Această criptare face mai dificilă interceptarea și furtul de informații.

Odată ce activezi SSL, adresa site-ului tău va folosi HTTPS în loc de HTTP. Vei vedea, de asemenea, o pictogramă de lacăt sau similară lângă adresa site-ului tău în browser.

În trecut, certificatele SSL erau scumpe, costând între 80 și sute de dolari anual. Astăzi, deținerea unui certificat SSL este o cerință pentru toate site-urile web.

Dacă nu aveți unul, Google Chrome și alte browsere vor marca site-ul dvs. ca „Nesecurizat”, ceea ce poate speria vizitatorii.

Pentru a rezolva acest lucru, o organizație non-profit numită Let’s Encrypt a început să ofere certificate SSL gratuite proprietarilor de site-uri web. Proiectul lor este susținut de Google Chrome, Facebook, Mozilla și multe alte companii.

Este mai ușor ca niciodată să începeți să utilizați SSL pentru toate site-urile dvs. WordPress. Multe companii de găzduire oferă acum un certificat SSL gratuit pentru site-ul dvs. WordPress.

Dacă compania dvs. de găzduire nu oferă unul, puteți achiziționa un certificat SSL de la Network Solutions. Aceștia au cele mai bune și mai fiabile oferte SSL de pe piață. Certificatul vine cu o garanție de securitate de 10.000 USD și un sigiliu de securitate TrustLogo.

Securitatea WordPress pentru utilizatorii DIY

Dacă faceți tot ce am menționat până acum, atunci sunteți într-o situație destul de bună.

Dar, ca întotdeauna, există mai multe lucruri pe care le puteți face pentru a consolida securitatea WordPress.

Rețineți că unii dintre acești pași pot necesita cunoștințe de codare.

Schimbă numele de utilizator implicit al administratorului

În trecut, numele de utilizator implicit pentru administratorul WordPress era „admin”. Deoarece numele de utilizator reprezintă jumătate din credențialele de conectare, acest lucru a facilitat atacurile de tip brute-force pentru hackeri.

Din fericire, WordPress a schimbat acest lucru de atunci și acum vă solicită să selectați un nume de utilizator personalizat la momentul instalării WordPress.

Cu toate acestea, unii instalatori mai vechi de WordPress cu 1 clic ar putea încă să seteze numele de utilizator implicit al administratorului la „admin”. Dacă observați că acesta este cazul, atunci probabil că este o idee bună să vă schimbați găzduirea web.

Deoarece WordPress nu vă permite să schimbați numele de utilizator în mod implicit, există trei metode pe care le puteți utiliza pentru a schimba numele de utilizator.

1. Creați un nume de utilizator administrator nou și ștergeți-l pe cel vechi.
2. Folosiți pluginul Username Changer
3. Actualizați numele de utilizator din phpMyAdmin

Am acoperit toate cele trei în ghidul nostru detaliat despre cum să vă schimbați corect numele de utilizator WordPress.

[Înapoi sus ↑]

Dezactivare editare fișiere

WordPress include un editor de cod încorporat care vă permite să editați fișierele temei și ale plugin-urilor direct din zona de administrare WordPress.

În mâini greșite, această funcție poate reprezenta un risc de securitate, motiv pentru care recomandăm dezactivarea ei.

Puteți face acest lucru cu ușurință adăugând următorul cod la fișierul dvs. wp-config.php sau cu un plugin de fragmente de cod precum WPCode (recomandat):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Vă arătăm cum să faceți acest lucru pas cu pas în ghidul nostru despre cum să dezactivați editorii de teme și pluginuri din panoul de administrare WordPress.

Alternativ, puteți face acest lucru cu 1 clic folosind funcția de întărire din pluginul gratuit Sucuri menționat mai sus.

[Înapoi sus ↑]

Dezactivați execuția fișierelor PHP în anumite directoare WordPress

O altă modalitate de a întări securitatea WordPress este prin dezactivarea execuției fișierelor PHP în directoarele unde nu este necesară, cum ar fi /wp-content/uploads/.

Puteți face acest lucru deschizând un editor de text precum Notepad și lipind acest cod:

<Files *.php>
deny from all
</Files>

Apoi, trebuie să salvați acest fișier ca .htaccess și să îl încărcați în folderul /wp-content/uploads/ de pe site-ul dvs. web folosind un client FTP.

Pentru o explicație mai detaliată, consultați ghidul nostru despre cum să dezactivați execuția PHP în anumite directoare WordPress.

Alternativ, puteți face acest lucru cu un singur clic folosind funcția de întărire din pluginul gratuit Sucuri menționat mai sus.

[Înapoi sus ↑]

Limitează încercările de conectare

În mod implicit, WordPress permite utilizatorilor să încerce să se autentifice de câte ori doresc. Acest lucru lasă site-ul dvs. WordPress vulnerabil la atacuri de tip brute-force. Aici hackerii încearcă să spargă parolele încercând să se autentifice cu diferite combinații.

Acest lucru poate fi remediat cu ușurință prin limitarea încercărilor eșuate de autentificare pe care le poate face un utilizator. Dacă utilizați firewall-ul aplicației web menționat anterior, atunci acest lucru este gestionat automat.

Cu toate acestea, dacă nu ai firewall-ul configurat, atunci poți continua folosind pașii de mai jos.

Mai întâi, trebuie să instalați și să activați pluginul gratuit Limit Login Attempts Reloaded. Pentru mai multe detalii, consultați ghidul nostru pas cu pas despre cum să instalați un plugin WordPress.

La activare, pluginul va începe să limiteze numărul de încercări de conectare pe care utilizatorii le pot face.

Setările implicite vor funcționa pentru majoritatea site-urilor web. Cu toate acestea, le puteți personaliza vizitând pagina Setări » Limit Login Attempts și făcând clic pe fila „Setări” din partea de sus. De exemplu, pentru a respecta legile GDPR, puteți bifa căsuța „Conformitate GDPR”.

Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum și de ce ar trebui să limitați încercările de autentificare în WordPress.

[Înapoi sus ↑]

Adaugă autentificare în doi factori (2FA)

Metoda de autentificare cu doi factori necesită 2 pași diferiți pentru ca utilizatorii să se autentifice:

1. Primul pas este numele de utilizator și parola.
2. Al doilea pas necesită utilizarea unui cod dintr-un dispozitiv sau o aplicație aflată în posesia dvs. la care hackerii nu pot accesa, cum ar fi smartphone-ul dvs.

Majoritatea site-urilor web online de top, precum Google, Facebook și Twitter, vă permit să o activați pentru conturile dvs. Puteți adăuga aceeași funcționalitate și pe site-ul dvs. WordPress.

Mai întâi, trebuie să instalați și să activați pluginul WP 2FA – Two-factor Authentication. Pentru mai multe detalii, consultați ghidul nostru pas cu pas despre cum să instalați un plugin WordPress.

Un expert ușor de utilizat vă va ajuta să configurați plugin-ul, iar apoi vi se va oferi un cod QR.

Va trebui să scanați codul QR folosind o aplicație de autentificare de pe telefon, cum ar fi Google Authenticator, Authy sau LastPass Authenticator.

Recomandăm utilizarea LastPass Authenticator sau Authy deoarece vă permit să faceți backup conturilor dvs. în cloud. Acest lucru este foarte util dacă telefonul dvs. este pierdut sau resetat, sau dacă cumpărați unul nou. Toate autentificările conturilor dvs. vor fi restaurate cu ușurință.

Majoritatea acestor aplicații funcționează într-un mod similar, iar dacă folosiți Authy, atunci pur și simplu faceți clic pe butonul „+” sau „Adăugați cont” din aplicația de autentificare.

Acest lucru vă va permite să scanați codul QR de pe computer folosind camera telefonului. S-ar putea să fie necesar mai întâi să acordați aplicației permisiunea de a accesa camera.

După ce ați dat un nume contului, îl puteți salva.

Data viitoare când vă conectați la site-ul dvs. web, vi se va cere codul de autentificare în doi factori după ce introduceți parola.

Pur și simplu deschideți aplicația de autentificare de pe telefon și veți vedea un cod de unică folosință.

Puteți apoi introduce codul pe site-ul dumneavoastră pentru a finaliza autentificarea.

[Înapoi sus ↑]

Schimbați prefixul bazei de date WordPress

În mod implicit, WordPress folosește wp_ ca prefix pentru toate tabelele din baza de date WordPress.

Dacă site-ul dvs. WordPress folosește prefixul implicit al bazei de date, hackerilor le este mai ușor să ghicească numele tabelelor dvs. Acesta este motivul pentru care recomandăm schimbarea acestuia.

Puteți schimba prefixul bazei de date urmând tutorialul nostru pas cu pas despre cum să schimbați prefixul bazei de date WordPress pentru a îmbunătăți securitatea.

[Înapoi sus ↑]

Protejați prin parolă pagina de administrare și de conectare WordPress

În mod normal, hackerii pot solicita folderul dvs. wp-admin și pagina de conectare fără restricții. Acest lucru le permite să încerce trucurile lor de hacking sau să efectueze atacuri DDoS.

Puteți adăuga protecție suplimentară prin parolă la nivel de server, ceea ce va bloca eficient acele solicitări.

Pur și simplu urmați instrucțiunile noastre pas cu pas despre cum să protejați cu parolă directorul de administrare WordPress (wp-admin).

[Înapoi sus ↑]

Dezactivați indexarea și navigarea prin directoare

Când introduceți adresa unuia dintre folderele site-ului dvs. web într-un browser web, vi se va afișa pagina web numită index.html dacă aceasta există. Dacă nu există, atunci vi se va afișa o listă de fișiere din acel folder în schimb. Acest lucru este cunoscut sub numele de navigare în director.

Hackerii pot folosi navigarea prin directoare pentru a afla dacă aveți fișiere cu vulnerabilități cunoscute, astfel încât să poată profita de aceste fișiere pentru a obține acces.

Navigarea prin directoare poate fi folosită și de alții pentru a vă examina fișierele, a copia imagini, a vizualiza structura directorului dvs. și a accesa alte informații. Acesta este motivul pentru care este foarte recomandat să dezactivați indexarea și navigarea prin directoare.

Trebuie să vă conectați la site-ul dvs. web folosind FTP sau managerul de fișiere al furnizorului dvs. de găzduire. Apoi, localizați fișierul .htaccess în directorul rădăcină al site-ului dvs. web. Dacă nu îl vedeți acolo, consultați ghidul nostru despre de ce nu puteți vedea fișierul .htaccess în WordPress.

După aceea, trebuie să adăugați următoarea linie la sfârșitul fișierului .htaccess:

Opțiuni -Indexuri

Nu uitați să salvați și să încărcați fișierul .htaccess înapoi pe site-ul dvs.

Pentru mai multe informații despre acest subiect, consultați articolul nostru despre cum să dezactivați navigarea prin directoare în WordPress.

[Înapoi sus ↑]

Dezactivați XML-RPC în WordPress

XML-RPC este o API WordPress de bază care ajută la conectarea site-ului dvs. WordPress cu aplicații web și mobile. A fost activat în mod implicit încă de la WordPress 3.5.

Cu toate acestea, datorită naturii sale puternice, XML-RPC poate amplifica semnificativ atacurile de tip brute-force.

De exemplu, dacă un hacker ar fi dorit în mod tradițional să încerce 500 de parole diferite pe site-ul dvs. web, ar fi trebuit să facă 500 de încercări separate de conectare. Pluginul Limit Login Attempts Reloaded poate detecta și bloca acest lucru.

Dar cu XML-RPC, un hacker poate folosi funcția system.multicall pentru a încerca mii de parole cu, să zicem, 20 sau 50 de solicitări.

Acesta este motivul pentru care, dacă nu utilizați XML-RPC, recomandăm să îl dezactivați. (Notă: S-ar putea să aveți nevoie de XML-RPC activat dacă utilizați aplicația mobilă WordPress sau pluginul Jetpack).

Există 3 moduri de a dezactiva XML-RPC în WordPress și le-am acoperit pe toate în tutorialul nostru pas cu pas despre cum să dezactivați XML-RPC în WordPress.

Alternativ, acest lucru este gestionat automat dacă utilizați un firewall pentru aplicații web (WAF), așa cum am menționat anterior.

[Înapoi sus ↑]

Deconectare automată a utilizatorilor inactivi în WordPress

Utilizatorii conectați se pot îndepărta uneori de pe ecran, iar acest lucru prezintă un risc de securitate. Cineva le poate deturna sesiunea, le poate schimba parolele sau le poate face modificări contului.

Acesta este motivul pentru care multe site-uri bancare și financiare deconectează automat utilizatorii inactivi. Puteți configura o funcționalitate similară și pe site-ul dvs. WordPress.

Va trebui să instalați și să activați pluginul Inactive Logout. După activare, vizitați pagina Setări » Inactive Logout pentru a personaliza setările de deconectare.

Pur și simplu setați durata și adăugați un mesaj de deconectare. Apoi, nu uitați să faceți clic pe butonul „Salvare modificări” din partea de jos a paginii pentru a vă stoca setările.

Pentru instrucțiuni pas cu pas, vă rugăm să consultați ghidul nostru despre cum să deconectați automat utilizatorii inactivi în WordPress.

[Înapoi sus ↑]

Adăugați întrebări de securitate pe ecranul de conectare WordPress

Adăugarea unei întrebări de securitate pe ecranul de autentificare WordPress face și mai dificil pentru cineva să obțină acces neautorizat.

Puteți adăuga întrebări de securitate instalând pluginul Autentificare cu doi factori. După activare, trebuie să vizitați pagina Autentificare multi-factor » Doi factori pentru a configura setările pluginului.

Acest lucru vă va permite să adăugați diverse tipuri de autentificare în doi pași pe site-ul dvs., inclusiv întrebări de securitate.

Pentru instrucțiuni mai detaliate, consultați tutorialul nostru despre cum să adăugați întrebări de securitate pe ecranul de autentificare WordPress.

[Înapoi sus ↑]

Scanează WordPress pentru malware și vulnerabilități

Dacă aveți instalat un plugin de securitate WordPress, acesta va verifica în mod regulat dacă există malware și semne de breșe de securitate.

Cu toate acestea, dacă observați o scădere bruscă a traficului pe site sau a clasamentelor în căutare, este posibil să doriți să scanați manual pentru malware. Puteți face acest lucru folosind pluginul dvs. de securitate WordPress sau unul dintre cele mai bune scanere de malware și securitate.

Rularea acestor scanări online este destul de simplă. Pur și simplu introduceți URL-ul site-ului dvs. web, iar roboții lor parcurg site-ul dvs. web pentru a căuta malware și cod malițios cunoscut.

Acum, rețineți că majoritatea scannerelor de securitate WordPress online pot doar să vă avertizeze dacă site-ul dvs. conține malware. De obicei, nu pot elimina malware-ul sau curăța un site WordPress compromis.

Acest lucru ne aduce la următoarea secțiune, curățarea site-urilor WordPress infectate cu malware și sparte.

[Înapoi sus ↑]

Reparare Site WordPress Hacked

Mulți utilizatori WordPress nu realizează importanța backup-urilor și a securității site-ului web până când site-ul lor nu este spart.

Hackerii instalează backdoor-uri pe site-urile afectate și, dacă aceste backdoor-uri nu sunt remediate corespunzător, site-ul dvs. va fi probabil din nou compromis.

Pentru utilizatorii aventuroși și cei care preferă să facă singuri, am compilat un ghid pas cu pas despre remedierea unui site WordPress compromis.

Cu toate acestea, curățarea unui site WordPress poate fi foarte dificilă și consumatoare de timp. Sfatul nostru ar fi să lăsați un profesionist să se ocupe de asta.

Dacă plătiți pentru a utiliza pluginul de securitate Sucuri menționat mai sus, repararea site-ului compromis este inclusă în preț.

În caz contrar, puteți consulta recomandările noastre despre cele mai bune agenții de suport WordPress pentru a găsi profesioniști care vă pot repara site-ul compromis.

[Înapoi sus ↑]

Întrebări frecvente despre securitatea WordPress

Deoarece securitatea WordPress este atât de importantă, primim frecvent întrebări despre ea. Iată răspunsuri la întrebările frecvente despre cum să menții site-urile WordPress în siguranță împotriva atacurilor.

Este WordPress sigur de utilizat?

WordPress este conceput pentru a fi securizat, mai ales dacă îl mențineți actualizat în mod regulat. Cu toate acestea, deoarece este atât de popular, hackerii vizează adesea site-urile WordPress.

Nu vă faceți griji, totuși. Urmând sfaturi simple de securitate, cum ar fi cele din acest articol, puteți reduce semnificativ șansele ca cineva să vă spargă site-ul web.

Ce poate pune site-ul dvs. WordPress în pericol?

Există diferite moduri în care hackerii încearcă să obțină acces la site-uri web. Unele amenințări comune includ ghicirea parolelor, instalarea de software dăunător (malware) și găsirea slăbiciunilor în codul site-ului dvs. web pentru a fura informații sau a prelua controlul.

Cât de des ar trebui să-mi actualizez site-ul WordPress?

Menținerea la zi a site-ului dvs. WordPress, a temelor și a pluginurilor este foarte importantă. Noile actualizări includ adesea remedieri pentru probleme de securitate. Încercați să utilizați actualizări automate sau verificați singur actualizările cel puțin o dată pe săptămână și instalați-le rapid.

Am nevoie de un plugin special pentru securitate?

Nu este obligatoriu să folosiți un plugin de securitate, dar acesta poate face site-ul dvs. mult mai sigur. Pluginurile de securitate acționează ca niște gărzi suplimentare pentru site-ul dvs., protejându-vă de hackeri și malware.

Cum știu dacă cineva mi-a spart site-ul web?

Dacă observați lucruri ciudate pe site-ul dvs., ar putea fi un semn că ați fost compromis. Aceasta ar putea include apariția unor utilizatori sau fișiere noi pe care nu le-ați creat, site-ul dvs. trimite vizitatori către alte site-uri, site-ul dvs. funcționează lent sau primiți avertismente de la Google sau de la furnizorul dvs. de găzduire web.

Ce ar trebui să fac dacă site-ul meu este spart?

Dacă credeți că site-ul dvs. a fost compromis, nu intrați în panică, dar acționați rapid. Puteți contacta compania dvs. de găzduire web și solicitați ajutor. Puteți, de asemenea, să utilizați un plugin de securitate sau să cereți unui expert în securitate să vă curețe site-ul.

Dacă aveți o copie de rezervă a site-ului dvs., restaurați-o din acea copie. Asigurați-vă că schimbați toate parolele, inclusiv pe cele pentru zona de administrare WordPress, baza de date și FTP.

Resurse suplimentare

Sperăm că acest articol v-a ajutat să învățați cele mai bune practici pentru a vă proteja site-ul web. S-ar putea să doriți să consultați și aceste alte ghiduri utile pentru a menține site-ul dvs. WordPress securizat:

• Ghid pentru începători despre rolurile și permisiunile utilizatorilor WordPress
• Cum să opriți și să preveniți un atac DDoS pe WordPress
• Ce este lista neagră Google? (Și cum să o remediați)
• Sucuri vs. Cloudflare (Avantaje și Dezavantaje) – Care este mai bun?
• Cum să alegi cel mai bun hosting WordPress (Comparativ)

Dacă v-a plăcut acest articol, atunci vă rugăm să vă abonați la Canalul nostru de YouTube pentru tutoriale video despre WordPress. Ne puteți găsi, de asemenea, pe Twitter și Facebook.