Securitatea unui site este foarte importanta pentru mine si aplic mai multe metode de protejare a unui site WordPress. Dupa cum stii, WordPress este o platforma cu sursa deschisa, iar cei cunoscatori in ale programarii gasesc vulnerabilitati si le exploateaza. De aceea, primul pas este sa ai intotdeauna versiunea de WordPress actualizata pentru a-ti proteja site-ul.
Nu trebuie sa intri in panica, dar e bine sa incerci sa-ti protejezi site-ul cat mai bine, ca sa nu te trezesti intr-o dimineata fara site, dupa ce ai investit timp si energie, de multe ori si bani. Dar “time is money”, nu?
Ca sa stai linistit, verifica-ti site-ul la Sucuri. Aici vei afla daca ai probleme de genul:
- site-ul tau are o versiune veche de WordPress,
- ai cod malitios in site
- site-ul e in lista neagra
- contine redirectari suspicioase, etc.
Actualizează permanent versiunea de WordPress și modulele utilizate
Stiu ca pentru multi utilizatori acest capitol este unul care sperie. Actualizarea modulelor (plugins) si a versiunii de WordPress, poate sa-ti dea site-ul peste cap daca ai o tema veche sau module prost scrise, ce au conflicte cu tema. Fa un backup inainte si asigura-te ca acest backup poate fi restaurat cu succes. Apoi indrazneste sa actualizezi site-ul. Mai devreme sau mai tarziu vei avea probleme daca nu actualizezi la timp.
O alta varianta ar fi sa ai o dublura a site-ului pe care sa faci teste, iar alta varianta ar fi sa platesti pe cineva pentru mentenanta.
Modifică numele de utilizator cu rolul de administrator
Daca nu ai inca un site si vrei sa-l instalezi singur, asa cum ai vazut in acest video, ar fi foarte indicat sa modifici numele de utilizator din admin in altceva. Pune si o parola formata din 12-13 caractere minim, care sa contina atat cifre, litere mari si mici, cat si semne de punctuatie. Uite cum ar fi o astfel de parola: Coca-20Cola?14.
O astfel de parola se sparge in 3 luni cu ajutorul unui soft, deci e bine sa o schimbi odata la 3 luni.
Am gasit site-ul http://howsecureismypassword.net/, unde poti sa testezi cat de “tare” este parola ta. Vezi in imagini in cat timp poate fi ghicita aceasta parola.
M-am jucat putin si am sters cate un caracter de la sfarsit: ecranul isi schimba culoarea in functie de taria parolei. Incearca si tu o parola 🙂
Daca ai deja un site cu numele de utilizator admin, poti sa modifici acest nume doar din baza de date, dar fa inainte un backup. Apoi intra pe server si acceseaza baza de date din phpMyAdmin, cauta tabela wp_users, da click pe Edit si modifica datele din campul user_login, cu ce vrei tu, dar nu cu parolamea, password, admin123, 123456789, asa cum am vazut tot timpul ca fac unii.
Modifică prefixul tabelelor din baza de date
Daca ai observat, denumirea tabelei in care se tin datele utilizatorilor unui site WordPress este wp_users. Prefixul wp_ poate fi modificat, astfel incat sa nu se stie denumirea tabelelor, ceea ce face ca injectiile SQL sa nu poata fi facute.
La instalarea WordPress, cand completezi numele bazei de date si utilizatorul, este si un camp in care este afisat prefixul wp_. Sterge acest prefix si pune ce vrei tu, ca de exemplu roz_. Toate tabelele care vor fi create vor avea acest prefix: roz_users.
Redirectează accesul la pagina de autentificare
Redirectarea se poate face din fisierul .htaccess, pe care il gasesti pe server. Eu folosesc un plugin care ma ajuta rapid sa fac redirectari, dar si sa limitez numarul de incercari de autentificare in admin. Pluginul este iThemes Security si iti protejeaza site-ul, daca il configurezi.
Fă un backup bazei de date și a fișierelor
Un plugin gratuit pe care il folosesc pentru backup si restaurare site-uri mici (1GB) este Duplicator. Cu ajutorul lui migrez site-urile de pe un server pe altul, si functioneaza foarte bine pe majoritatea serverelor. Totusi pe unele servere care nu sunt configurate asa cum are nevoie Duplicator, nu functioneaza. Si atunci e bine sa faci backup manual.
Daca contul tau de gazduire are cPanel, atunci totul e foarte usor de facut.
- Din File Manager poti face o arhiva a tuturor fisierelor prin selectarea lor si click pe butonul Compress.
- Din phpMyAdmin faci un export la baza de date si gata.
Ce iti recomand: indiferent cu ce metoda faci backup, descarca arhiva de pe server intr-un loc sigur si apoi sterge-o. De ce? Pentru ca arhiva contine date confidentiale – vezi datele din wp_config.php, si reprezinta un punct vulnerabil, daca directorul in care se afla nu este protejat.
Sunt începător și n-am înțeles mai nimic din ce ai scris până acum
Ok, de acord. Atunci instaleaza plugin-urile:
- iThemes Security (BetterWP Security) pentru redirectare, limitare numar de autentificari si backup baza de date trimisa prin email
- Wordfence este firewall, scaneaza impotriva virusilor si te anunta pe email daca apare ceva suspect
- Duplicator pentru backup total si restaurare rapida.
Toate aceste pluginuri sunt gratuite si le poti instala direct din interfata de administrare. Mai multe despre cum se configureaza aceste pluginuri, in articole viitoare.
Spune-mi ce ai facut ca sa-ti protejezi site-ul sau daca ai avut vreun “necaz” cu site-ul tau si cum ai rezolvat problema.
