Menținerea securității site-ului dvs. WordPress este un proces continuu, similar cu îngrijirea sănătății. Deși WordPress este conceput având în vedere securitatea, problemele pot apărea în continuare. Aceste probleme pot fi cauzate de pluginuri învechite, parole slabe sau chiar setări de găzduire web.
La WPBeginner, considerăm auditurile de securitate WordPress ca fiind verificări ale site-ului web. Acestea vă ajută să găsiți și să remediați slăbiciunile înainte ca cineva să le poată exploata. Ele mențin site-ul dvs. sănătos și protejează informațiile pe care le conține.
Acest articol vă va arăta cum să verificați site-ul dvs. WordPress pentru probleme de securitate fără a cauza probleme sau întreruperi.
Ce este un audit de securitate WordPress?
Efectuarea unui audit de securitate pe site-ul dvs. WordPress înseamnă verificarea site-ului dvs. pentru semne de breșă de securitate. Puteți efectua o verificare WordPress pentru a căuta activități suspecte, cod malițios sau o scădere neobișnuită a performanței.
Vă vom arăta cum să efectuați un audit de securitate de bază urmând pași simpli pe care îi puteți efectua manual. De asemenea, vă vom arăta cum să utilizați instrumente și servicii de audit de securitate WordPress pentru a efectua verificările de securitate automat.
Dacă găsiți ceva suspect, îl puteți izola, elimina și remedia.
Când să efectuați un audit de securitate WordPress
Ar trebui să efectuați un audit de securitate WordPress cel puțin o dată pe trimestru. Acest lucru vă permite să fiți la curent cu totul și să închideți breșele de securitate chiar înainte ca acestea să cauzeze probleme.
Cu toate acestea, ar trebui să efectuați un audit de securitate imediat dacă observați ceva suspect, cum ar fi:
- Site-ul dvs. web este brusc lent și greoi.
- Observați o scădere a traficului pe site-ul web.
- Există conturi noi suspecte, solicitări de resetare a parolei uitate sau încercări de conectare pe site-ul dvs. web.
- Vezi linkuri suspecte apărând pe site-ul tău web.
Acestea fiind spuse, să vedem cum să efectuăm cu ușurință un audit de securitate WordPress.
Efectuarea unui audit de securitate manual de bază pentru WordPress
Iată o listă de verificare cu câțiva pași pe care îi puteți urma pentru a efectua o auditare manuală de bază a securității WordPress pe site-ul dvs. web.
1. Actualizați nucleul WordPress, pluginurile și temele
Actualizările WordPress sunt foarte importante pentru securitatea și stabilitatea site-ului dvs. Acestea remediază vulnerabilitățile de securitate, aduc noi funcționalități și îmbunătățesc performanța.
Asigurați-vă că software-ul de bază WordPress, toate pluginurile și temele sunt actualizate. Puteți face acest lucru cu ușurință vizitând pagina Dashboard » Updates din zona de administrare WordPress.
WordPress va verifica dacă există actualizări disponibile și apoi le va afișa pentru a le instala. Dacă aveți nevoie de mai mult ajutor, consultați ghidurile noastre despre cum să actualizați corect WordPress și cum să actualizați corect pluginurile WordPress.
2. Verificați conturile și parolele utilizatorilor
Apoi, trebuie să revizuiți conturile de utilizator WordPress vizitând pagina Utilizatori » Toți utilizatorii. Căutați conturi de utilizator suspecte care nu ar trebui să fie acolo.
Dacă aveți un magazin online, un site de membri sau vindeți cursuri online, atunci este posibil să aveți conturi de utilizator pentru ca clienții dvs. să se autentifice.
Cu toate acestea, dacă aveți un blog sau un site web de afaceri, atunci ar trebui să vedeți doar conturi de utilizator pentru dvs. sau pentru orice alt utilizator pe care l-ați adăugat manual.
Dacă vedeți conturi de utilizator suspecte, atunci trebuie să le ștergeți.
Acum, dacă site-ul dvs. web nu necesită ca utilizatorii să creeze un cont, atunci trebuie să vizitați pagina Setări » Generale și să vă asigurați că căsuța de lângă opțiunea „Oricine se poate înregistra” este debifată.
Ca o precauție suplimentară, trebuie să vă schimbați parola de administrator WordPress. Vă recomandăm cu tărie să adăugați autentificarea cu doi factori pentru a consolida securitatea parolelor pe site-ul dvs.
3. Rulați o scanare de securitate WordPress
Următorul pas este să verificați site-ul dvs. web pentru vulnerabilități de securitate. Din fericire, există mai mulți scanere de securitate online pe care le puteți utiliza pentru a verifica malware-ul.
Recomandăm utilizarea Scanerului de securitate IsItWP, care verifică site-ul tău web pentru malware și alte vulnerabilități de securitate.
Aceste instrumente sunt bune, dar pot scana doar paginile site-ului dvs. web vizibile publicului. Vă vom arăta cum să efectuați audituri mai aprofundate mai târziu în acest articol.
4. Verificați analizele site-ului dvs. web
Analizele site-ului web vă ajută să urmăriți traficul site-ului dvs. web. Ele sunt, de asemenea, un indicator destul de bun al stării de sănătate a site-ului dvs. web.
Dacă site-ul dvs. web a fost blocat de motoarele de căutare, atunci veți vedea o scădere bruscă a traficului pe site-ul dvs. web. Dacă site-ul dvs. web este lent sau nu răspunde, atunci numărul dvs. total de vizualizări de pagină va scădea.
Vă recomandăm să utilizați MonsterInsights pentru a urmări traficul site-ului dvs. web. Acesta nu numai că afișează vizualizările totale ale paginilor, dar îl puteți utiliza și pentru a urmări utilizatorii înregistrați, clienții dvs. WooCommerce, conversiile formularelor și multe altele.
5. Configurați și verificați backup-urile WordPress
Dacă nu ați făcut-o deja, atunci trebuie să configurați imediat un plugin de backup WordPress. Acest lucru asigură că aveți întotdeauna o copie de rezervă a site-ului dvs. în cazul în care ceva nu merge bine.
Mulți începători uită de plugin-ul lor de backup WordPress după ce l-au configurat. Uneori, plugin-urile de backup pot înceta să funcționeze fără niciun avertisment. Este o idee bună să vă asigurați că plugin-ul dvs. de backup încă funcționează și salvează backup-uri.
Efectuarea unui audit automat de securitate WordPress
Lista de mai sus vă permite să parcurgeți cele mai importante aspecte ale unui audit de securitate. Cu toate acestea, nu este un proces foarte amănunțit, ceea ce înseamnă că site-ul dvs. web poate fi în continuare vulnerabil.
De exemplu, este dificil să păstrați o evidență manuală a tuturor activităților utilizatorilor, diferențelor de fișiere, codurilor suspecte și multe altele. Aici aveți nevoie de un plugin pentru a automatiza auditul de securitate și pentru a păstra o evidență a tot.
Puteți automatiza acest proces cu ajutorul câtorva pluginuri de securitate WordPress.
1. Efectuarea automată a unui audit de securitate cu WP Activity Log
WP Activity Log este cel mai bun plugin de monitorizare a activității WordPress de pe piață.
Vă permite să urmăriți toată activitatea utilizatorilor pe site-ul dvs. web. Puteți vizualiza toate autentificările utilizatorilor, adresele IP și ce au făcut pe site-ul dvs. web.
Puteți urmări utilizatorii WooCommerce, editorii, autorii și alți membri care au un cont pe site-ul dvs. web.
De asemenea, puteți activa orice evenimente pe care doriți să le urmăriți și să dezactivați evenimentele pe care nu doriți să le monitorizați.
Pluginul îți arată, de asemenea, o vizualizare în timp real a tuturor utilizatorilor conectați la site-ul tău web. Dacă vezi un cont suspect, poți încheia imediat sesiunea acestuia și îl poți bloca.
Puteți afla mai multe în ghidul nostru despre cum să monitorizați activitatea utilizatorilor în WordPress folosind WP Activity Log.
2. Efectuarea automată a unui audit de securitate cu Sucuri
Sucuri este cel mai bun plugin de firewall WordPress de pe piață și este, de asemenea, cea mai bună soluție de securitate WordPress all-in-one pe care o puteți obține pentru site-ul dvs. web.
Oferă protecție în timp real împotriva atacurilor DDoS prin blocarea activității suspecte chiar înainte ca aceasta să ajungă la site-ul dvs. web. Acest lucru elimină sarcina de pe serverul dvs. și îmbunătățește viteza/performanța site-ului dvs. web.
Vine cu un plugin de securitate încorporat care verifică fișierele WordPress pentru coduri suspecte. De asemenea, obții o imagine detaliată a activității utilizatorilor pe site-ul tău web.
Cel mai important, Sucuri oferă eliminarea malware-ului gratuit cu toate planurile lor plătite. Acest lucru înseamnă că, chiar dacă site-ul dvs. web este deja afectat, experții lor în securitate îl vor curăța pentru dvs.
Ghiduri Experte despre Securitatea WordPress
Sperăm că acest articol v-a ajutat să învățați cum să efectuați un audit de securitate WordPress pe site-ul dvs. De asemenea, ați putea dori să vedeți alte ghiduri legate de securitatea WordPress:
- Cum să forțați parole puternice pentru utilizatori în WordPress
- Cum să vă protejați site-ul WordPress de atacurile de tip brute force
- Principalele motive pentru care site-urile WordPress sunt compromise (& Cum să le preveniți)
- Semne că site-ul dvs. WordPress a fost spart (Sfaturi de la experți)
- Cum să scanezi site-ul tău WordPress pentru cod potențial malițios
- Cum să găsiți o ușă din spate într-un site WordPress compromis și să o remediați
- Cum să creați un plan de recuperare în caz de dezastru pentru WordPress
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Dennis Muthomi
Recomandați Sucuri ca o soluție de securitate WordPress all-in-one. Mă întreb dacă Sucuri ar putea înlocui nevoia de pluginuri separate precum WP Activity Log?
Vreau să evit aglomerarea site-ului meu cu prea multe pluginuri dacă unul ar putea face treaba.
Suport WPBeginner
Ar depinde de funcția pluginului pe care doriți să îl înlocuiți, dar Sucuri are o opțiune de jurnal de activitate.
Admin
Dennis Muthomi
Punct excelent că dacă Sucuri îmi satisface nevoile depinde de funcționalitatea pe care o caut. MULȚUMESC pentru răspuns!
Eva
Primul pas pentru a combate încercările zilnice de atacuri de tip brute force este schimbarea URL-ului de login implicit.
Suport WPBeginner
În loc să schimbăm URL-ul de autentificare, am recomanda în mod normal utilizarea unui plugin precum limit login attempts, deoarece schimbarea URL-ului de autentificare are o șansă mai mare de a cauza probleme începătorilor.
Admin
Eva
Ei bine, fac ambele! Și multe altele. Securitatea este prioritatea mea numărul unu. Înțeleg ce vreți să spuneți, dar majoritatea cuvintelor sunt la fel de ușor de memorat ca /wp-admin sau /wp-login, mai ales pentru începători, în opinia mea.
Suport WPBeginner
Este mai puțin vorba despre reținerea URL-ului de conectare și mai mult despre dacă există erori atunci când încercați să schimbați URL-ul, majoritatea începătorilor nu au instrumentele necesare pentru a repara adresa de conectare.
Eva
Înțeleg, punct bun! În multe cazuri, doar redenumirea directorului pluginului prin FTP este suficientă pentru a-l dezactiva și a accesa din nou prin /wp-login. Dar înțeleg, nu este prietenos pentru începători!
DW
Da, utilizarea URI-ului de autentificare nu face prea multe. Este o tehnică cunoscută sub numele de „securitate prin obscuritate” – practic securitate prin „ascundere”.
Dacă cineva este hotărât să vă acceseze site-ul web, utilizarea acestor tehnici de „securitate prin obscuritate” l-ar încetini cel mult cu câteva minute. Nu este cu adevărat un substitut pentru securizarea corespunzătoare a site-ului dvs. web.
Sunteți mult mai bine să vă securizați site-ul corespunzător. Tehnici precum pluginuri pentru a preveni atacurile de tip brute force, impunerea unor parole puternice, impunerea autentificării multi-factor cel puțin pentru conturile de administrator și, dacă aveți luxul de a avea o adresă IP statică, crearea unui fișier .htaccess care permite accesul la pagina de administrator doar de la adresa dvs. IP, sunt toate soluții mult mai bune.